L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

 

Tenir à jour un registre de ses activités de traitement, respecter les droits des personnes concernées ou encadrer ses relations de sous-traitance : à coups d’articles de sensibilisation, ces grands principes édictés par le Règlement Général sur la Protection des Données (RGPD) commencent à être pleinement intégrés par les organismes traitant des données personnelles.

D’autres impératifs issus de ce texte n’ont malheureusement pas bénéficié de la même publicité.

Tel est notamment le cas de l’Analyse d’Impact relative à la Protection des Données ou « AIPD ». Grande oubliée des campagnes de communication, cette notion n’en demeure pas moins une obligation légale pour les responsables de traitement, et mérite à ce titre d’être elle aussi mise en lumière.

Qu’est-ce que cette mesure préventive ?

L’AIPD [1] est un processus consistant à décrire le traitement de données envisagé, avant son instauration, pour évaluer ses risques pour les personnes concernées et réfléchir sur ses conditions de mise en œuvre.

L’analyse d’impact est donc un outil précieux de responsabilisation. Elle aide le responsable de traitement à identifier en amont les possibles lacunes des opérations de traitement projetées, et lui permet ainsi d’adopter les mesures rectificatives requises pour agir en toute conformité.

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Tout traitement de données personnelles ne doit pas faire l’objet d’une AIPD. En application de l’article 35 du RGPD, seuls sont concernés ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Toute la question est donc de savoir ce que recouvre cette expression de « risque élevé pour les droits et libertés » ?

Ce risque s’entend généralement d’un événement redouté qui, s’il survenait, aurait des conséquences particulièrement néfastes pour les individus dont les données personnelles sont exploitées. Le type de dommage pouvant être subi par les éventuelles victimes est indifférent pour caractériser ce danger [2]

La nature du dommage craint est elle aussi indifférente. Il peut s’agir d’un préjudice d’ordre moral, physique, financier ou matériel.

L’équation est la suivante :

 

Niveau de risque = vraisemblance du risque X gravité du risque

Autrement dit, il est possible de baisser le niveau de risque en diminuant soit la probabilité qu’il advienne, soit l’ampleur des préjudices encourus par les personnes concernées s’il devait se manifester.

Mais encore ?…

Pas toujours évidemment de savoir si un traitement de données répond à cette définition. Afin de conclure s’il y a lieu ou non de mener une AIPD, nous vous conseillons de suivre le raisonnement suivant :

ÉTAPE 1  :

Vérifier si votre traitement figure expressément parmi ceux pour lesquels la CNIL [3] estime qu’une AIPD est requise ou, au contraire, exclue. Afin d’accompagner les professionnels dans leurs démarches, l’autorité de contrôle a en effet publié :

  • Une liste non exhaustive d’activités pour lesquelles elle jauge qu’une AIPD est nécessairement requise.

La liste complète de ces activités est disponible à l’adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Dans ce cas, nous vous recommandons de vous conformer à la doctrine de l’autorité régulatrice et de réaliser une analyse d’impact.

  • Une liste non exhaustive d’activités qu’elle considère comme étant exemptées d’AIPD.

L’énumération complète de ces activités est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf

Dans ce cas, il existera une forte présomption que vous n’ayez pas à mener une telle AIPD.

Toutefois, la présence de votre opération projetée sur cette liste ne doit pas vous empêcher de vous poser les questions prévues à l’étape 2.

Par exception, aucune analyse de risque n’est exigée lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

   1° Ce traitement soit prévu par la législation européenne ou nationale ;

   2° Que les textes constituant sa base juridique réglementent l’opération de traitement en question ;

   3° Qu’une AIPD ait déjà été menée lors de l’adoption de ce fondement juridique.

ÉTAPE 2  : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

 

Ce processus a vocation à déterminer si le traitement est de nature à porter atteinte aux droits et libertés des personnes, en particulier « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (art. 35 RGPD).

Selon les lignes directrices du Comité Européen de la Protection des Données[4], une AIPD doit être effectuée si le traitement remplit au moins deux des neufs critères suivants, à savoir qu’il implique :

  1. Une évaluation ou notation, y compris les activités de profilage et de prédiction ;

(Exemple : les traitements analysant les préférences des consommateurs sur un site en ligne afin de cibler leurs publicités selon leur profil marketing)

  1. Une prise de décision automatisée avec effet juridique ou effet similaire significatif ;

(Exemple : les traitements utilisés pour définir les conditions d’une police d’assurance, plus ou moins avantageuses en fonction des risques relevés dans la situation du souscripteur)

  1. Une surveillance systématique ;

(Exemple : les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées ou une zone géographique donnée, tels que les réseaux de vidéosurveillance ou de vidéoprotection)

  1. Une collecte de données sensibles ou données à caractère hautement personnel ;

(Exemple : données pénales, à caractère sexuel, données de santé / biométriques / génétiques, données syndicales ou politiques, données de religion, sur les origines, etc.)

  1. Une collecte de données personnelles à large échelle ;

Le CEPD précise que cette notion s’apprécie non seulement au regard du nombre de personnes concernées, mais également du volume de données traitées, de l’étendue géographie et temporelle de l’activité de traitement, du caractère proportionné de l’échantillon d’individus ciblés, etc.

  1. Un croisement de données ;

Tel est le cas si le traitement de données met en relation plusieurs informations personnelles collectées auprès d’un individu dans des contextes différents.

  1. Des données personnelles d’individus vulnérables ;

( Exemple : personnes âgées, malades ou handicapées, mineurs, demandeurs d’asile, mais aussi les salariés dans leurs rapports avec leur employeur, compte tenu du déséquilibre des pouvoirs existant entre eux.)

  1. Un usage innovant des données ou l’utilisation de nouvelles solutions technologiques ;

(Exemple : systèmes de reconnaissance faciale ou d’empreintes digitales, d’intelligence artificielle.)

  1. L’exclusion du bénéfice d’un droit/contrat.

(Exemple : les traitements utilisés dans le cadre de l’attribution ou du refus d’octroi de crédit bancaire)

Selon le CEPD, cette règle n’a pas vocation à être interprétée strictement.

Vous pouvez ainsi décider de conduire une AIPD alors même qu’un seul des neufs critères serait rempli, si vous estimez que le traitement présente malgré tout un risque élevé pour les droits et libertés des personnes concernées. A l’inverse, vous pouvez également considérer que, bien que votre traitement satisfait au moins deux de ces critères, une AIPD ne serait pas requise. 

ATTENTION – Le fait de réaliser une analyse de risque ainsi que la décision finale de mener ou non une AIPD à l’issue de cette analyse de risque sont laissés à la libre appréciation du responsable de traitement.

Charge à lui de justifier, en cas de contrôle, les arguments juridiques et de fait pris ayant conduit à sa décision.

Alors comment mener une AIPD si celle-ci s’impose ?

Les acteurs de l’AIPD

L’obligation de mener une AIPD incombe au seul responsable de traitement.

Toutefois, les textes précisent que celui-ci doit, à cette occasion, se faire entourer :

  • Du Délégué à la Protection des Données de l’organisme, s’il en a été désigné un. Ce dernier est investi d’une mission de conseil et sera tenu de superviser le déroulement de l’analyse.
  • De ses sous-traitants, qui ont le devoir de l’assister durant ce processus et de coopérer avec lui.
  • Il peut aussi, s’il le souhaite, demander leurs avis directement aux personnes concernées.

Nous vous recommandons également de consulter les membres impliqués de votre personnel, afin d’obtenir un retour terrain des modalités de mise en œuvre du traitement analysé (le fournisseur du produit ou logiciel utilisé, les collaborateurs appelés à manipuler les données, le responsable de la sécurité des systèmes d’information, les opérateurs techniques et de maintenance, etc.)

Le contenu de l’AIPD 

L’AIPD doit impérativement faire figurer les mentions obligatoires suivantes (art. 35 RGPD) [5] :

  • Une description des principales caractéristiques du traitement envisagé: nature des opérations projetées, finalités du traitement, volume et catégories de données devant être traitées, volume et catégories des personnes ciblées, ainsi que toute information relative aux aspects techniques et opérationnels de mise en œuvre du traitement (matériel utilisé, cartographie des flux de données, mesures de protection instaurées, etc.),
  • Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à l’objectif poursuivi,
  • Une évaluation des risques pour les droits et libertés des personnes concernées: quelle est la probabilité que survienne une atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles traitées ? Quelles seraient les répercussions d’un tel incident pour les potentielles victimes ?
  • Les mesures envisagées pour faire face aux risques identifiés, et les garanties adoptées par le responsable de traitement pour assurer la sécurité des données manipulées et sa conformité.

L’AIPD est un processus itératif. Il conviendra de réévaluer le risque tout au long de la vie du traitement.

Les éléments relatifs aux AIPD menées par votre organisme figurent parmi la documentation justifiant de votre conformité. Il convient donc de conserver précieusement toutes les pièces dont vous disposez à ce sujet, à titre de preuve.

La possible consultation de l’autorité de contrôle

Le responsable de traitement doit consulter la CNIL lorsque les résultats de l’AIPD mettent en évidence que le niveau de risque pour les personnes concernées demeure élevé malgré les mesures préventives prises pour l’atténuer.

Or, dans ce contexte, la CNIL peut faire usage de ses pouvoirs de contrôle et de répression si elle estime que la mise en œuvre de ce traitement constituerait une violation du RGPD. Le choix de communiquer ou non son AIPD à l’autorité régulatrice pour avis n’est donc pas une question à prendre à la légère…

* * *

Trop souvent incomprise, cette obligation légale de mener une AIPD constitue pourtant un enjeu de taille pour les responsables de traitement.

Outre d’éventuelles sanctions pénales ou judiciaires, tout manquement aux règles relatives aux analyses d’impact est passible d’une amende administrative dont le montant peut s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant retenu (art. 83 du RGPD).

RGPD-Experts a mis en place une méthodologie fiable et efficace pour mener à bien ce processus fastidieux au sein de votre organisme. Notre modèle prend en considération les particularités de votre structure, afin d’aboutir à une analyse fiable et adaptée à votre propre situation.

Nous vous invitons à contacter nos services si vous souhaitez être accompagnés dans la conduite de vos AIPD, et ainsi éviter de devoir consulter la CNIL avant de mettre en œuvre vos traitements de données.

L.H


[1] Aussi appelée « Analyse d’impact sur la vie privée » ou « DPIA », de l’anglais « Data Privacy Impact Assessment ».

[2] Peu importe qu’il soit à craindre une violation de leur droit au respect de leur vie privée, à la protection de leurs données personnelles, ou de tout autre droit fondamental (interdiction des discriminations, libertés de conscience et d’expression, liberté syndicale…).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] A cet égard, nous vous invitons à lire l’annexe 2 des lignes directrices du Comité Européen de la Protection des Données précitées.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

Sanction d’un sous-traitant pour sa mauvaise gestion de données de santé

– Les méandres des pratiques de la société DEDALUS BIOLOGIE –

 

 Par sa décision symbolique du 15 avril 2022, la CNIL [1] a mis un stop aux manquements de la société DEDALUS BIOLOGIE en matière de protection des données.

Le dictionnaire “Le ROBERT” définit un dédale comme « le lieu où l’on risque de s’égarer à cause de la complication des détours. Ensemble de choses embrouillée ».

Force est de constater que DEDALUS BIOLOGIE porte bien son nom. Après avoir emprunté des chemins tortueux pour commercialiser ses solutions logicielles à destination des laboratoires d’analyses médicales, cette entreprise s’est finalement vue barrer net sa route par l’autorité de contrôle française.

AU DÉPART…  Retour sur le contexte de l’affaire

Le 23 février 2021, le journal LIBÉRATION dénonçait la présence sur un forum du “darknet”[2] d’un fichier contenant les informations personnelles de près de 500.000 individus.

Au-delà d’éléments d’ordre administratif, des données particulièrement sensibles concernant les victimes de cette publication ont été révélées au grand jour, et notamment des données relatives à leur santé. En l’occurrence, les renseignements suivants y figuraient :

  • L’identité et les coordonnées des médecins ayant prescrit les examens biologiques réalisés ;
  • L’identité et les coordonnées des préleveurs ;
  • L’état civil des patients, mais aussi leur numéro de sécurité sociale, les données relatives à leur mutuelle (dont leurs identifiants pour se connecter à leurs comptes individuels) ainsi que des commentaires libres concernant leurs pathologies ou leur suivi médical (diagnostics de VIH, cancers, maladies génétiques ; état de grossesse ; traitements médicamenteux en cours, etc.).

Afin de limiter au maximum les conséquences de cette divulgation pour les personnes concernées, la Présidente de la CNIL a été contrainte d’agir en justice en urgence. Le 4 mars 2021, le juge des référés du Tribunal Judiciaire de Paris a ainsi enjoint à différents fournisseurs d’accès à Internet de bloquer par tous moyens l’accès à ce fichier en ligne.

Les investigations menées par la Commission ont permis retrouver la trace du partenaire commercial des deux laboratoires d’où provenaient ces informations sensibles, à savoir la société DEDALUS BIOLOGIE.

 

Les malheureux raccourcis empruntés par la société DEDALUS BIOLOGIE pour assurer sa conformité

La CNIL avait déjà, par le passé, condamné conjointement un responsable de traitement et son sous-traitant[3].

La décision de la Commission du 15 avril 2022 est tout à fait singulière puisqu’ici seul le sous-traitant a été poursuivi[1]. Les laboratoires, à qui DEDALUS BIOLOGIE ne faisait que mettre à disposition un outil d’aide à la mise en œuvre de leurs traitements de données et en assurer la maintenance, n’ont fait l’objet d’aucune sanction.

 

Si l’autorité de contrôle n’indique pas expressément les raisons de cette exemption de responsabilité, il semblerait que cette mesure de faveur découle – comme il le sera expliqué par la suite :

  • D’une part, du fait que la société DEDALUS BIOLOGIE transmettait elle-même à ses clients ses propres conditions générales de vente, faisant office d’encadrement contractuel au titre du Règlement Général sur la Protection des Données (RGPD) ;
  • D’autre part, du fait que DEDALUS BIOLOGIE a excédé les instructions données par le responsable de traitement lors de la manipulation des données qui lui avaient été confiées.

La publicité attachée à la décision de la CNIL poursuit vraisemblablement un double objectif. Au-delà de sa portée individuelle, en ce qu’elle ajoute une sanction réputationnelle à la sanction pécuniaire prise contre DEDALUS BIOLOGIE, elle lance un avertissement à l’ensemble des sous-traitants.

La Commission affiche ainsi sans détours que ces derniers sont, eux aussi, susceptibles de voir leur responsabilité engagée, ce indépendamment de celle du responsable de traitement.

La Commission n’y est pas allée par quatre chemins pour justifier le montant particulièrement élevé de l’amende d’1,5 million d’euros prononcée contre DEDALUS BIOLOGIE. Selon elle, cette somme est tout à fait proportionnée au regard du chiffre d’affaires annuel conséquent de la société, estimé à 16,3 millions d’euros en 2020.

La souhaitant volontairement dissuasive, l’autorité régulatrice estime que la sévérité de cette condamnation est justifiée compte tenu de la gravité des manquements imputables à l’entreprise, du nombre de victimes et des conséquences préjudiciables de la violation de données subie par ces dernières.

1er égarement reproché à DEDALUS BOLOGIE : l’encadrement insuffisant de ses relations de sous-traitance

  • L’imprécision des documents formalisant la relation de sous-traitance

Le RGPD ne se contente pas d’imposer que les relations entre le responsable de traitement et chacun de ses sous-traitants soient formalisées par un acte juridique contraignant. Le contenu de ces écrits est également précisément défini par la législation européenne en termes de protection des données.

En l’espèce, la société DEDALUS BIOLOGIE et les laboratoires justifiaient bien avoir signé entre eux divers documents destinés à régir les modalités de leurs partenariats.

Pour autant, ni les conditions générales de vente proposées par DEDALUS BIOLOGIE, ni ses contrats de maintenance ne comportaient les mentions devant obligatoirement y figurer en application de l’article 28 du RGPD (telles que la description générique des traitements de données concernés par l’activité de sous-traitance, les droits et obligations respectifs des parties : devoir de confidentialité, d’assurer la sécurité des données, devoir de coopération, hypothèses de sous-traitance en cascade, etc.).

Pire, ces écrits faisaient référence à des dispositions obsolètes de la loi « Informatique et Libertés ».

DEDALUS BIOLOGIE a fait valoir qu’elle était en bonne voie de régulariser la situation, et avait rédigé de nouveaux modèles de contrats conformes. La CNIL considère toutefois ces efforts incomplets tant que l’intégralité des clients actuels de la société ne se sont pas vus remettre ces actes actualisés, quitte à devoir les renégocier…

  • Le dépassement des instructions données par le responsable de traitement

L’article 29 du RGPD n’autorise le sous-traitant à traiter les données du responsable de traitement que sur instructions de celui-ci et conformément à ses instructions.

En l’occurrence, les laboratoires avaient demandé à la société DEDALUS BIOLOGIE de faire migrer une liste précise des données de leurs patients de l’ancienne version de leur logiciel vers une plus récente. Or, leur prestataire a excédé ces consignes, tant en ce qui concerne le volume que les catégories de données extraites.

DEDALUS BIOLOGIE a indiqué que la solution qu’elle utilise pour réaliser ces transferts ne lui permettait pas de filtrer les informations à migrer, de sorte qu’elle était contrainte d’exporter la totalité de la base de données des centres d’analyses médicales.

La CNIL écarte cet argument. Elle affirme que DEDALUS BIOLOGIE ne peut pas invoquer le fait d’avoir usé d’un outil ne tenant pas la route pour se justifier d’avoir outrepassé les instructions du responsable de traitement.

2ème égarement reproché à DEDALUS BOLOGIE : les divers manquements à son obligation d’assurer la sécurité des données

L’autorité de contrôle relève que la société DEDALUS BIOLOGIE a sérieusement manqué à son obligation de prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données qui lui avaient été confiées, tel que le prévoit l’article 32 du RGPD.

Elle souligne que le sous-traitant a fait fausse route à de nombreux égards, notamment en raison de :

  • « L’absence de procédure spécifique pour les opérations de migration de données » ;

La CNIL insiste sur le fait que ces protocoles ne sont pas uniquement symboliques, et destinés à afficher le prétendu intérêt porté par l’organisme à sa conformité. Ils constituent une aide concrète, et permette que la réalisation d’une telle opération de migration s’effectue dans le respect de la législation en vigueur en matière de protection des données, en décrivant les étapes à suivre pour réaliser cette tâche ainsi que les rôles et responsabilités associées des différents intervenants.

  • « L’absence de chiffrement des données personnelles stockées » et « l’absence d’effacement automatique des données après migration vers l’autre logiciel » ;

Les informations extraites étaient ainsi transférées « en clair », c’est-à-dire lisibles directement par tous – aggravant d’autant les dommages susceptibles d’affecter les personnes concernées en cas de violation de données.

  • L’accès libre depuis Internet, sans authentification, à certaines données hébergées aux fins de migration dans la zone publique du serveur de DEDALUS BIOLOGIE et « l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur » ;

Dans ces conditions, les risques d’intrusion dans les fichiers traités par la société DEDALUS BIOLOGIE et de compromission des informations manipulées étaient donc particulièrement à craindre.

  • « L’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur ».

Les connexions suspectes à la base de données du sous-traitant n’étaient, de ce fait, pas détectées.

Mais surtout, la Commission érige en circonstance aggravante le fait que ces failles de sécurité ont perduré malgré les avertissements adressés à la société DEDALUS BIOLOGIE en ce sens.

Dès le mois de mars 2020, un salarié de l’entreprise avisait ainsi ses supérieurs sur les nombreuses vulnérabilités qu’il avait identifiées dans les systèmes informatiques déployés par l’organisme.

Face à l’absence de réaction de ses chefs, ce lanceur d’alerte aurait d’ailleurs prévenu les autorités avant de se faire curieusement licencier pour « fautes graves »[5].

Puis, en novembre 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI[6]) signalait à son tour à la société la mise en vente de données anonymisées de certains patients des laboratoires sur le “darknet”.

DEDALUS BIOLOGIE n’a cependant donné aucune suite à ces alertes. Cette indifférence a conduit la société tout droit dans l’impasse dans laquelle se trouve aujourd’hui.

À L’ARRIVÉE : l’importance de se faire accompagner dans sa conformité pour ne pas se tromper d’orientation

DEDALUS BIOLOGIE a été affectée par cette affaire à plus d’un titre. La sanction prononcée par la CNIL s’ajoute en effet à la cyberattaque dont elle a été victime, et à l’origine de la publication de ses bases de données.

L’auteur de ce piratage n’a d’ailleurs pas encore été identifié à ce jour.

Or, ces deux événements désastreux auraient pu être évités si la société avait mis en œuvre les mesures internes qui s’imposaient pour préserver ces données.

Ne vous perdez pas en chemin dans l’application quotidienne des impératifs issus du RGPD au sein de votre structure, comme a pu le faire DEDALUS BIOLOGIE.

L’essor économique et commercial d’une entreprise implique aujourd’hui nécessairement de prendre en compte les exigences nouvelles des citoyens en matière de protection de leurs données personnelles.

Si vous ne souhaitez pas trouver d’embuches sur votre route, il est important de vous faire guider par des professionnels capables d’adapter vos démarches de conformité à la stratégie de développement de votre entité.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Selon le dictionnaire “LAROUSSE”, le darknet est un « ensemble de réseaux permettant de partager de manière anonyme des données cryptées inaccessibles aux moteurs de recherche traditionnels », soit une forme d’Internet clandestin. En ce sens, il est lieu d’un grand nombre d’activités illégales (pédophilie, trafic d’armes, terrorisme, etc.).

[3] Pour plus d’informations concernant la condamnation récente d’un sous-traitant, faute pour lui d’avoir recherché les mesures adéquates pour assurer la sécurité des données personnelles et d’avoir proposé ces solutions au responsable de traitement, nous vous invitons à consulter l’article suivant : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante :

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all

[5] Selon les journalistes du site de presse en ligne “Next INpact” dans un article dédié, publié à l’adresse suivante : https://www.nextinpact.com/article/43405/un-leader-europeen-donnees-sante-licencie-lanceur-dalerte-pour-faute-grave

[6] L’ANSSI est l’autorité nationale chargée « d’accompagner et de sécuriser le développement du numérique ». Elle s’inscrit à cet égard comme acteur majeur dans le domaine de la cybersécurité, et assure notamment un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Dossier médical partagé et protection des données personnelles :

C’EST GRAVE DOCTEUR ?

 

Après de nombreux échecs, le “Dossier médical partagé” se refait une santé !

Le 3 février dernier, le gouvernement inaugurait sa nouvelle plateforme “Mon Espace Santé” (MES).

Cet outil, accessible via Internet après authentification, vise à aider ses utilisateurs à gérer leurs données de santé et à construire leurs parcours de soins avec les professionnels de santé.

Plutôt que de laisser à chaque citoyen le choix de recourir ou non à ce service public en ligne, comme il l’avait fait pour sa première version, le gouvernement a cette fois opté pour une méthode beaucoup plus radicale.

Depuis le début de l’année 2022, l’Assurance maladie communique ainsi à tous ses affiliés leurs identifiants personnels pour activer ce nouveau dispositif. A défaut de connexion ou d’opposition de la personne concernée dans les six semaines suivant la réception de ce courrier/courriel d’information, un compte individuel lui est automatiquement créé sur cet “Espace Numérique de Santé” [1].

 

Quelles sont les fonctions projetées de « Mon Espace Santé » ?

Prenons la température des objectifs et paramètres de cette plateforme.

Toutes les fonctionnalités de cette interface ne sont pas encore disponibles, tels que l’agenda e-santé et le catalogue d’outils et de services, pourtant prévus par les textes. A terme, cette solution regroupera les configurations suivantes[2] :

Qui pourra accéder à « Mon Espace Santé » ?

Chaque utilisateur peut paramétrer son Espace Numérique de Santé afin de déterminer la liste des professionnels de santé autorisés à déposer des informations sur son compte, ou à en prendre connaissance. Les choix opérés par les assurés à cet égard sont, là encore, modifiables à tout instant.

Ces autorisations d’accès peuvent être temporaires ou définitives. Elles peuvent porter sur l’ensemble des données contenues dans l’application, ou être limitées à certains documents.

Quoi qu’il en soit, la communication des données renseignées sur cette plateforme ne peut en aucun cas être exigée par des tiers, en particulier lors de la conclusion d’un contrat – notamment d’assurance.

Et pour cause, en disposant de ces renseignements sensibles vous concernant, vos interlocuteurs seraient en mesure d’effectuer divers pronostics… et d’ajuster le montant de vos cotisations en fonction de vos risques de présenter, à plus ou moins long terme, des problèmes de santé. Des pratiques abjectes, mais qui ne sont malheureusement pas si anecdotiques !

Quid du « Dossier médical partagé » intégré dans l’ENS ?

Le “Dossier Médical Partagé” (DMP) constitue une sorte de carnet de santé digital. Il vise à « favoriser la prévention, la coordination, la qualité et la continuité des soins des personnes concernées »[3].

Il contient :

  • Les données versées par les praticiens autorisés à l’issue de leurs consultations: l’état des vaccinations du patient, ses synthèses médicales et paramédicales, comptes-rendus d’hospitalisation, résultats d’analyses biologiques ou d’examens d’imagerie médicale, les actes diagnostiques et thérapeutiques réalisés, etc.
  • Les données que le titulaire du compte a éventuellement lui-même ajoutées : ses allergies, ses antécédents familiaux, ses documents de santé émis avant l’ouverture de son Espace Numérique de Santé, ses volontés en matière de don d’organes ou ses directives anticipées, l’identité du proche à prévenir en cas d’urgence, etc.

Hormis le médecin traitant éventuellement désigné par le titulaire du compte – qui peut accéder à l’ensemble des données inscrites dans son Dossier Médical Partagé – les autres soignants devront impérativement avoir obtenu le consentement de leur patient pour s’y connecter[4].

Une dérogation est prévue en cas d’urgence. Si l’état du malade l’exige, tout professionnel de santé peut consulter son Dossier Médical Partagé sans son autorisation, à moins que celui-ci ait expressément indiqué s’y opposer dans ses informations personnelles.

Afin que les affiliés puissent s’assurer du respect de la confidentialité de leurs données personnelles de santé, la plateforme est équipée d’un outil de traçabilité des connexions. Lors de chaque intervention par un tiers sur son Espace Numérique de Santé, l’utilisateur reçoit ainsi en principe une notification reprenant la date, l’heure, l’action réalisée (dépôt de document, consultation, modification…) et l’identification de son auteur.

Un remède suffisant pour prévenir toutes dérives ? L’avenir nous le dira !

Quels sont mes droits en tant qu’utilisateur ?

Sur leur Espace Numérique de Santé comme sur leur Dossier Médical Partagé, les assurés peuvent naturellement exercer les droits qui leur sont reconnus par la législation en vigueur en matière de protection des données.

Étant les seuls gestionnaires de leurs comptes, ils peuvent à cet égard :

  • Extraire les données qui y figurent, en application de leur droit d’accès et de leur droit à la portabilité de leurs données ;
  • Les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • Effacer les renseignements qu’ils auraient eux-mêmes déposés[5] ;
  • Limiter le traitement de leurs données, en réduisant les droits d’accès des professionnels de santé ;
  • Clôturer à tout moment leur compte, en application de leur droit d’opposition.

Dans ce cas, les données contenues sur la plateforme seront conservées pendant une durée de 10 ans, sauf si le titulaire du compte sollicite spécifiquement leur suppression [6].

AVIS aux professionnels de santé !

Vous êtes amenés, en tant que soignant, à traiter chaque jour des données de santé ?

L’instauration de cette nouvelle version du “Dossier Médical Partagé” est susceptible d’impacter votre pratique au quotidien !

Notez qu’il est indispensable d’interroger vos patients sur la question de savoir s’ils vous autorisent à consulter et à alimenter leur compte personnel. A défaut, toute connexion à leur Dossier Médical Partagé constitue un accès illégitime, et vous expose à des sanctions judiciaires, pénales ou émanant des ordres professionnels.

Vous devez également respecter les droits dont bénéficient vos patients pour la protection de leurs données personnelles. A cet égard, vous êtes tenus répondre aux demandes d’accès et de rectification qui vous seraient adressées par ces derniers si vous êtes à l’origine du document objet de leur requête [7].

Nous attirons également votre attention sur le fait que, comme le rappelle l’article R.1111-40 du Code de la Santé Publique, le Dossier Médical Partagé ne se substitue pas au dossier que tient chaque professionnel de santé, quel que soit son mode d’exercice, dans le cadre de la prise en charge d’un patient.

Or, à cet égard, des règles spécifiques s’imposent compte tenu de la sensibilité des données que vous manipulez : mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques pour les droits et libertés des personnes concernées, recours à des prestataires agréés ou certifiés pour l’hébergement, le stockage ou la conservation des données de santé, etc.

Si vous n’êtes pas certains d’agir dans le respect de la législation en vigueur en matière de protection des données personnelles, il est encore temps de dresser le diagnostic de votre conformité !

A l’heure ou nous finissions la rédaction de cette article, la CNIL, publie une FAQ sur le sujet pour l’information du grand public, qui comme toujours est extrêmement clair que nous vous invitons à consulter en complément.

L.H

[1] Les utilisateurs peuvent néanmoins changer d’avis à tout moment, en demandant la clôture de leur Espace Numérique de Santé.

[2] Les conditions d’instauration et de mise en œuvre de cet Espace Numérique de Santé ainsi que du Dossier Médical Partagé inclus en son sein sont régies par les articles L.1111-13 et suivants et R.1111-26 et suivants du Code de la Santé Publique.

[3] Conformément à l’objectif défini à l’article L.1111-14 du Code de la Santé Publique (CSP).

[4] Cette autorisation sera alors réputée valoir pour tous les membres de l’équipe de soins à laquelle appartient ce professionnel habilité.

[5] Les utilisateurs ne peuvent toutefois pas retirer les documents versés sur leur compte personnel par des praticiens. Ils devront, dans ce cas, demander directement à l’auteur de l’information de la retirer.

[6] A l’inverse, si vous n’avez pas sollicité la destruction des renseignements vous concernant figurant dans l’application, il vous est possible de demander à tout instant, dans ce délai de 10 ans, le rétablissement de votre compte et de vos données de santé archivées.

[7] Article R.1111-51 du Code de la Santé Publique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

 

Le 5 avril 2022, la CNIL[1] rappelait avoir mis à disposition sur son site Internet un ensemble de documents explicatifs consacrés à l’Intelligence Artificielle (IA). Outre ses pouvoirs de contrôle, l’autorité régulatrice a pour mission d’informer le grand public sur divers sujets liés à la protection des données personnelles, ainsi que d’accompagner les professionnels dans leur conformité. Dans ce contexte, la Commission a jugé utile de vulgariser les connaissances des citoyens sur cette innovation nébuleuse qu’est l’Intelligence Artificielle.

La CNIL n’a évidemment pas sorti cette thématique de son chapeau par hasard.

Selon un sondage IFOP de 2017, 83% des Français auraient déjà entendu parler des algorithmes[2]. Toutefois, la moitié des personnes interrogées reconnaissait ne pas comprendre précisément en quoi consistent ces programmes. Pire, 64% d’entre elles s’avouaient inquiètes du développement de ces technologies.

D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes [3] et l’Intelligence Artificielle en 2017.

Si l’expression “Intelligence Artificielle” est fréquemment associée à un monde moderne et futuriste, elle ne relève pourtant pas du fictif. Comment cet univers surnaturel est-il devenu, justement, si naturel ?

L’intelligence Artificielle : supercherie ou véritable utilité ?

A ce jour, aucune définition officielle n’a été adoptée pour déterminer ce qu’englobe le terme d’ « Intelligence Artificielle ». Il est généralement entendu comme un domaine de la science tendant à permettre à des appareils électroniques de faire ce dont l’homme est capable moyennant une certaine intelligence.

Comme par enchantement (ou presque), votre ordinateur se voit ainsi en mesure de vous battre aux échecs, ou votre voiture autonome apte à vous conduire seule à bon port. Le Parlement Européen définit l’IA comme tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[4]. Ne vous bercez pas d’illusions, ces systèmes sont déjà omniprésents dans notre environnement.

Exemple 1 : Les agents conversationnels ou « ChatBots »

De nombreux organismes ont recours à des “ChatBots” dans le cadre de leurs relations avec les clients, notamment pour la gestion des réclamations ou la fourniture d’une assistance en ligne. Nous parlons bien de la « personne » avec qui vous conversez lorsque vous rencontrez un problème sur le site de votre banque, dans vos démarches dématérialisées, ou encore lorsque vous interrogez Siri, Google Assistant ou Alexa sur la météo de demain.

Ces robots conversationnels sont capables de comprendre la question qui leur est adressée en fonction de son contexte et d’y répondre de manière standardisée. Ils constituent des formes d’Intelligence Artificielle.

 

Capture d’écran d’un ChatBot sur le site de la Caisse d’Allocations Familiales

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

Ces techniques d’IA sont notamment utilisées à des fins de profilage en ligne. Elles permettent de vous proposer des contenus adaptés à vos préférences.

Exemples : suggestions de recherche sur le web, prédiction de mots sur vos claviers de portable, recommandations sur les réseaux sociaux ou les plateformes de streaming (musiques conseillées sur Deezer ou Spotify, liste de vidéos suggérées sur Netflix, etc.).

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Le marché regorge désormais d’applications destinées à aider les entreprises à améliorer et accélérer leurs procédures, que ce soit en interne (aide au recrutement, prédiction du « turn over » des salariés…) ou en externe (algorithme de calcul pour l’attribution ou non d’un prêt bancaire, des risques assurantiels…).

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

Afin de réaliser la tâche qui lui a été attribuée, la machine se voit d’un procédé automatisé reposant sur des algorithmes. Cette technique lui permet comme par magie, ou plutôt par l’application de règles mathématiques préalablement définies (des “modèles d’IA”), de générer une déduction ou une prédiction.

Grâce à ces modèles d’IA, l’appareil peut généralement étendre lui-même son champ de connaissances au fur et à mesure qu’il élargit sa base de données, par une méthode dite “d’apprentissage automatique“. Autrement dit, l’IA améliore sans cesse sa capacité à mimétiser les comportements humains à partir des informations qu’elle recueille progressivement. Ce tour de passe-passe repose donc sur la collecte et le traitement massifs de données potentiellement personnelles.

L’Intelligence Artificielle : un monde féérique ?

Si l’Intelligente Artificielle présente des avantages indéniables pour ses utilisateurs (gain de temps, d’énergie voire de fiabilité), sa mise en œuvre n’est toutefois pas sans risques. Ces algorithmes sont susceptibles de faire de nombreuses erreurs, qui peuvent être liées :

  • A la conception de leur système : les « biais discriminatoires »

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

Exemple : un échantillon de population insuffisamment large utilisé pour calibrer certains dispositifs de reconnaissance faciale peut induire des difficultés à identifier des individus de certaines origines ethniques.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

Exemple : inclure le sexe d’un candidat à l’embauche comme un critère de sélection, et non ses seules qualifications et compétences, est susceptible d’aboutir à une décision discriminante [5].

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Exemple : la machine constatant que, statistiquement, les individus décèdent très fréquemment dans leur lit pourrait en déduire à tort qu’il serait dangereux de dormir, plutôt que d’estimer qu’il lui manque une information supplémentaire à son analyse, à savoir l’état de faiblesse du défunt avant sa mort.

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

  • Soit les conséquences d’erreurs humaines dans l’écriture des programmes.

En effet, la logique de raisonnement assignée à l’appareil a été pensée par l’homme, avec toutes les déviances et la subjectivité que cela implique.

  • Soit le reflet de problèmes sociétaux actuels.

L’IA se fondant sur des statistiques issues de données réelles, elle a ainsi malheureusement tendance à reproduire voire à amplifier les inégalités de fait et discriminations existantes.

  • A leurs conditions d’utilisation

La mauvaise qualité des données (telle qu’une photo prise dans un lieu sombre pour une reconnaissance faciale) ou des défauts liés au matériel utilisé sont de nature à fausser les résultats de l’algorithme.

  • A leurs infrastructures ou à des défaillances informatiques « ordinaires » (piratage, endommagement des équipements terminaux, erreur humaine…)

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés. 

Les réflexes à adopter pour les utilisateurs 

Nous vous conseillons d’abord de vérifier systématiquement si vous interagissez avec un robot ou une personne réelle. En cas de doute, n’hésitez pas à questionner votre interlocuteur ou le service compétent.

Nous vous recommandons de limiter au maximum la transmission de vos données personnelles si cela n’est pas nécessaire (formulation de question générique, claire et simple dans un chatbot ; utilisation du mode « navigation privée » sur Internet pour limiter votre profilage selon votre historique, etc.). Gardez à l’esprit que la proposition ou suggestion émanant de la machine peut être erronée.

 

Afin de ne pas vous faire mener à la baguette, vous pouvez enfin exercer les droits qui vous sont reconnus pour conserver la maitrise de vos données personnelles, tel que votre droit d’information sur les caractéristiques principales de ces traitements de données.

L’article 22 du RGPD précise notamment que toute personne a le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Dans ce contexte, vous pouvez demander à connaître la logique sous-jacente à ces prises de décisions automatisées. Vous êtes aussi en droit d’exiger l’intervention d’une personne humaine dans le processus décisionnel, d’exprimer votre point de vue sur la décision ou de la contester.

Les réflexes à adopter pour les professionnels

Conformément au principe de minimisation des données et de protection des données dès la conception, nous vous invitons à concevoir vos algorithmes de manière à restreindre autant que possible la collecte d’informations personnelles des individus concernés[6].

Les responsables de traitement doivent également faire preuve de transparence à l’égard des personnes ciblées par ces systèmes d’IA. En ce sens, il y a lieu d’indiquer si elles correspondent avec un robot, d’expliquer la méthode de raisonnement globale appliquée par l’algorithme, et de motiver chacune des réponses ou décisions éventuellement prises grâce à ces dispositifs. Les professionnels sont aussi tenus de faire superviser l’utilisation de ces technologies par un humain.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

 » La Commission Européenne a adopté le 23 février dernier une proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données, plus connu sous le nom de “Data Act”. Ces dispositions visent notamment à créer un marché unique des données et à réguler les pratiques des plateformes numériques. »

De nombreux autres textes sont en cours de rédaction à l’échelle européenne afin d’encadrer davantage l’utilisation de l’Intelligence Artificielle, tels que :

  • Le Règlement ePrivacy, qui fixera les règles applicables en matière d’IA dans les services de communication électronique, et notamment sur les réseaux sociaux ;
  • Le Règlement sur l’Intelligence Artificielle proposé par la Commission Européenne en avril 2021, qui vise à trouver un juste équilibre entre le développement de ces technologies innovantes et la protection des données personnelles des citoyens européens.

Les lignes conductrices de ces législations en débat ont été publiées par les institutions compétentes. Nous vous invitons à vous inspirer dès maintenant des principes essentiels formulés par ces textes dans votre organisme, afin que votre mise en conformité s’effectue en un tour de main lorsqu’ils entreront en vigueur.

L.H


[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes et l’Intelligence Artificielle en 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[3] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[4] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[5] En effet, si l’entreprise n’a recruté que des hommes au cours des dernières années, l’algorithme est susceptible de conclure que la condition d’être de sexe masculin répond aux attentes de l’organisme.

[6] Le respect de ces impératifs se révèle d’autant plus important concernant le recueil de catégories de données sensibles ou susceptibles de conduire à des discriminations.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

« Affaire Benalla », volet RGPD : profilage politique et énième polémique

 

Le 18 juillet 2018, le journal « Le Monde » révélait l’identité de l’homme casqué filmé en train de frapper avec violence un manifestant lors des traditionnels cortèges du 1er mai : Alexandre Benalla, adjoint au chef du cabinet du Président de la République.

La réaction des citoyens et internautes face à la sanction clémente prononcée à son encontre (15 petits jours de mise à pied) fut sans précédents. Le début d’un quasi scandale d’État.

L’affaire connaît un nouveau rebondissement avec la condamnation d’une association belge ayant enquêté sur les retentissements médiatiques de ces événements.

QUI ? L’autorité de contrôle belge (l’APD[1]), en collaboration avec son homologue française (la CNIL[2]), a sanctionné le 27 janvier 2022 le collectif EU DisinfoLab et l’un de ses chercheurs.

Selon ses statuts, l’association a notamment pour objet de lutter contre le phénomène des ‘fake news’ dans les médias. Or, en voulant combattre la désinformation, EU DisinfoLab et son bénévole ont eux-mêmes traité illégalement de nombreuses informations…

QUOI ? – EU DisinfoLab tentait de comprendre les raisons de l’hyperactivité générée par l’affaire Benalla sur les réseaux sociaux, en particulier sur l’application Twitter.  Elle s’interrogeait entre autre sur l’orientation politique des auteurs de ces « tweets ».

Or, avant même que ses résultats ne soient publiés, l’intégrité scientifique de l’étude était contestée. Il lui était reproché de chercher à démontrer à tout prix l’existence d’un complot russe dans cette surexposition médiatique.

Afin de démontrer la fiabilité de sa méthodologie, l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !

l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !  Les renseignements personnels de plus de 55.000 utilisateurs de Twitter et de près de 3.300 comptes ont ainsi été diffusés, catégorisés selon leurs préférences politiques. Le contenu de leurs sections « biographie » était également exposé au grand jour, faisant apparaître d’autres renseignements intimes les concernant : convictions religieuses, orientation sexuelle…

Cet incident est l’occasion de rappeler une évidence : les données personnelles disponibles sur les réseaux sociaux ne perdent la protection conférée par le RGPD sous prétexte qu’elles sont accessibles au public.

COMMENT ?  La liste des manquements imputés à l’association et/ou son chercheur est longue [3] :

[1] « L’Autorité de Protection des Données » est l’autorité indépendante belge compétente en matière de protection des données personnelles.

[2] La « Commission Nationale de l’Informatique et des Libertés » (CNIL) est l’équivalent français de l’APD.

[3] La décision de l’APD du 27 janvier 2022 est disponible dans son intégralité à l’adresse suivante : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf

 

Illicéité des traitements de données (article 6.4 RGPD)

Pour rappel, lorsqu’un traitement de données à des fins journalistiques n’est pas réalisé à partir de données collectées directement auprès des individus concernés, il constitue un “traitement ultérieur”.

Ces opérations de traitement secondaires doivent alors être compatibles avec la finalité pour laquelle les données personnelles ont été recueillies initialement. A défaut, l’organisme est tenu de justifier la base légale sur laquelle il fonde l’exploitation ultérieure de ces renseignements.

En l’occurrence, l’APD estime que cette exigence de compatibilité de finalités n’est pas satisfaite. Elle souligne notamment l’absence d’attentes légitimes des internautes à une telle réutilisation de leurs données à des fins de profilage politique et de republication sur Internet.

Si les auteurs des “tweets” pouvaient raisonnablement s’attendre à ce que leurs propos soient commentés dans le cadre d’un débat politique, ils ne pouvaient que difficilement imaginer que leurs comptes seraient classés et médiatisés en raison de cette appartenance politique.

Cela est d’autant plus vraie s’agissant de la révélation d’informations sensibles les concernant, sorties du contexte de l’affaire Benalla (convictions religieuses, orientation sexuelle, prétendue proximité avec des médias russes…).

EU DisinfoLab et son bénévole auraient ainsi dû recueillir le consentement des internautes avant de traiter leurs données pour ces nouveaux objectifs d’enquête, et non le faire à leur insu.

Manquement aux obligations de sécurité (article 32 RGPD)  

L’APD estime qu’EU DisinfoLab n’a pas assuré une sécurité et une confidentialité suffisante des informations personnelles reprises sur Twitter en ne les pseudonymisant pas[4]. Cette mesure aurait pourtant permis d’empêcher toute identification des abonnés concernés lors de la diffusion de leurs données personnelles.

Absence de notifications d’une violation de données (article 33 RGPD)

La publication des données « brutes » sur lesquelles le chercheur d’EU DisinfoLab fondait son étude constitue une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes visées. Compte tenu de la sensibilité des informations portées à la connaissance de tous, elle expose ces dernières à un risque de discrimination ou de discrédit dans leur vie privée ou professionnelle.

L’association reconnaît n’avoir notifié cette violation de données ni à l’autorité de contrôle, ni aux internautes touchés, comme elle y était pourtant tenue…

Incapacité à fournir la documentation de sa conformité aux autorités de contrôle 

Absence de registre de ses activités de traitement (article 30.5 du RGPD)

Malgré sa faible envergure, l’association ne peut pas invoquer la dérogation reconnue aux entités de moins de 250 personnes sur l’obligation de tenir un tel registre.

Les traitements de EU DisinfoLab portant sur des données sensibles, l’association aurait bel et bien dû – exception à l’exception – disposer d’un registre de ses activités de traitement, ce qui n’est pas le cas.

→ Absence des contrats de sous-traitance avec ses prestataires (article 28 RGPD) 

[4] Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable ».

EU DisinfoLab n’a conclu aucun accord de partenariat avec ses sous-traitants : ni avec les prestataires lui ayant fourni les logiciels pour extraire de Twitter les informations dont elle avait besoin, ni avec le bénévole à qui elle a confié la réalisation de son étude.

Or, le RGPD impose de formaliser ces relations de sous-traitance par tout écrit ayant une force contraignante.

Absence de réalisation d’une analyse d’impact relative à la vie privée (ou « AIPD » – article 35 RGPD) 

Ce alors que la conduite d’une AIPD s’imposait à l’association, cette formalité étant requise en cas de traitement à grande échelle de données sensibles.

MAIS ENCORE ? – Les apports de la décision

Reconnaissance de la responsabilité d’un particulier

En condamnant à titre personnel le chercheur chargé de la réalisation de l’étude, cette décision rappelle que s’il est rare qu’un particulier soit condamné par une autorité de contrôle, cela n’est toutefois pas impossible.

L’autorité régulatrice souligne que la base de données exploitée par l’association a été diffusée par le scientifique de son « initiative personnelle […] en dehors de toute instruction de l’association EU DisinfoLab et en parfaite violation des procédures internes ».

En s’émancipant ainsi des consignes qui lui avaient été transmises, le chercheur ne peut donc plus invoquer agir en qualité de sous-traitant, mais engage sa responsabilité comme responsable conjoint de traitement.

Précisions sur « l’exception journalistique »

La loi exige l’information préalable des personnes concernées que leurs données personnelles font l’objet d’un traitement, ce même lorsque la collecte de ces renseignements intervient indirectement (article 14 RGPD).

L’APD précise ici que « l’exception journalistique » permettait toutefois à EU DisinfoLab de ne pas procéder à cet avis préalable des internautes, dès lors que cette information aurait pu compromettre la réalisation de son étude.

Même sans mener une activité de journalisme à titre professionnel, l’APD considère que l’enquête de l’association s’inscrit dans un débat d’intérêt général. Elle ne pouvait ainsi pas être forcée de dévoiler l’entièreté de ses sources, ni de prévenir individuellement les abonnés de Twitter de son projet d’étude.

* * *

L’association et le chercheur ont finalement été condamnés à un rappel à l’ordre et à une amende respective de 2.700 et 1.200 euros.

Ne vous y trompez pas : la faiblesse des sanctions prononcées est tout à fait exceptionnelle. Cette tolérance se justifie non seulement par le fait que les responsables de traitement sont une association à but non lucratif peu connue ainsi qu’une personne physique, mais aussi et surtout par la proximité de la date des faits avec l’entrée en vigueur du RGPD.

Les autorités de contrôle se sont depuis pleinement emparées de leurs pouvoirs répressifs, et n’hésitent pas à multiplier au centuple les montants de leurs amendes.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

UTILISATION DES EXTRAITS DE VIDÉOSURVEILLANCE À TITRE DE PREUVE

Comment bien utiliser ces prises de vue pour ne pas être pris au dépourvu

 

Plus de 120 ans après la création du cinéma par les frères Lumière, un tout autre film se joue derrière les écrans de nombreux organismes français. Le recours aux caméras de surveillance s’est massivement répandu, voire banalisé au sein des entreprises. Commerces, lieux de stockage, zones industrielles : aucun angle mort n’est oublié.

Plusieurs employeurs ont tenté d’utiliser les enregistrements obtenus par le biais de ces dispositifs dans le cadre de poursuites judiciaires contre leurs salariés. Or, la production de ces extraits vidéo comme moyens de preuve n’est admise qu’à de strictes conditions.

Vous avez raté les jurisprudences récentes sur cette question ? Prenez votre pop-corn et installez-vous confortablement, la séance de rattrapage commence !

ZOOM sur les règles à respecter lors de l’installation de systèmes de vidéosurveillance

Afin d’éviter tout mauvais cadrage de notre sujet, il convient d’abord de rappeler la distinction fondamentale entre « vidéoprotection » et « vidéosurveillance ».

L’expression « vidéoprotection » fait référence aux dispositifs d’observation mis en place par tout organisme public ou privé qui filme des espaces ouverts au public[1] pour lutter contre l’insécurité. Ils visent tant à dissuader les individus de commettre des infractions qu’à permettre de retrouver l’identité de ceux qui seraient, malgré ces précautions, passés à l’acte.

L’implantation de ces appareils suppose l’accomplissement de formalités préalables spécifiques. Elle requiert notamment d’obtenir l’autorisation du préfet compétent, qui sera à renouveler tous les 5 ans.

La notion de « vidéosurveillance  » recouvre quant à elle toutes les caméras installées dans des lieux privés ou fermés, c’est-à-dire dont l’accès est restreint à certaines catégories de personnes.

Contrairement aux systèmes de vidéoprotection, aucune autorisation préfectorale n’est requise pour l’installation de ces mesures de contrôle.

Compte tenu de ces définitions, un seul et même réseau de caméras peut donc relever des deux régimes juridiques distincts selon leur localisation et leur orientation.

Exemple 1 : une agence bancaire filmant son distributeur à extérieur et son accueil ouvert à tous d’une part (vidéoprotection), et ses bureaux accessibles seulement aux salariés d’autre part (vidéosurveillance).

Exemple 2 : un commerce filmant les rayons de son magasin (vidéoprotection) mais un dispositif installé dans ses réserves (vidéosurveillance).

Attention à l’orientation des caméras et la profondeur du champ !

En effet, une caméra installée dans un lieu privé (vidéosurveillance) mais dont la profondeur de champ donnerait sur le trottoir, pourrait être (re)qualifiée de vidéoprotection.

Cet éclairage fait, il convient de placer sous les feux des projecteurs la méthodologie à suivre pour une installation régulière de ces systèmes de vidéosurveillance.

[1] Les textes ne précisent toutefois pas les endroits couverts par cette appellation de « voie publique ». La « Commission Nationale Informatique et Libertés » (CNIL) a pu évoquer qu’il s’agirait des « lieux accessibles à tous sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel, ou subordonné à certaines conditions, heures ou causes déterminées ».

  • Motifs et caractère proportionné de l’usage de caméras

L’employeur ne peut s’équiper de ces technologies que dans le but d’assurer la sécurité des biens et des personnes placés sous sa responsabilité. Il est strictement illégal d’installer ces outils simplement pour inspecter l’activité de ses salariés.

Cela suppose donc que le positionnement des caméras soit pensé en conséquence.

Si celles-ci peuvent filmer les entrées et sorties des bâtiments, les issues de secours, voies de circulation ou entrepôts de stockage, elles ne doivent en aucun cas permettre de « fliquer » le personnel.

Même au travail, les employés bénéficient du droit au respect de leur vie privée. Il est ainsi interdit de scruter via ces systèmes les zones de repos, les toilettes ou encore les locaux syndicaux[2].

Dans tous les cas, l’employeur devra être en mesure d’établir le caractère proportionné de cette mesure au but sécuritaire poursuivi. Il lui revient de démontrer qu’il n’existait pas de moyen de contrôle moins intrusif pour atteindre pleinement cet objectif.

Article L.1121-1 du Code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. ».

  • Information et consultation préalable des représentants du personnel

Le Comité social et économique doit obligatoirement être informé et consulté, avant toute prise de décision, sur la question de la mise en œuvre d’un tel réseau de vidéosurveillance (art. L2312-38 du Code du travail).

  • Information valable des salariés / visiteurs filmés

Les personnes concernées par ces enregistrements doivent nécessairement en être informées. 

ATTENTION aux mauvaises pratiques ! Contrairement à la croyance populaire, cette information ne consiste pas seulement à signaler l’existence de ces caméras, mais doit aussi renseigner les individus visés des principales caractéristiques de ce traitement de données.

Dans les entreprises, le recours à la vidéosurveillance peut être communiqué par la diffusion d’une note de service ou la signature d’un avenant au contrat de travail des salariés.

Article L1222-4 du Code du travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

Un affichage permanent et visible doit aussi, outre le symbole d’une caméra, indiquer au minimum :

  • Les finalités de cette vidéosurveillance, l’objectif poursuivi par l’organisme ;
  • La durée de conservation des enregistrements ;
  • L’identité et les coordonnées du Délégué à la protection des données (DPO) ou d’un point de contact ;
  • L’existence des droits « Informatique & Libertés » et de déposer une réclamation auprès de la CNIL.

[2] Il n’est pas non plus permis de filmer les accès à ces locaux syndicaux s’ils constituent les seuls passages permettant de s’y rendre.

Par souci de clarté et de transparence, nous vous recommandons de fournir par d’autres moyens les autres informations prévues à l’article 13 du RGPD (base légale du traitement, destinataires des données, etc.) [3], par exemple en renvoyant les personnes concernées vers une page Internet dédiée.

Autant dire que l’organisme ne peut se contenter d’être un simple spectateur lors de l’installation de son réseau de vidéosurveillance !

[3] Nous ne vous ferons pas l’offense de vous rappeler que ces informations ne sont pas spécifiques à ces dispositifs de surveillance, mais doivent être communiquées aux personnes concernées avant tout traitement de leurs données à caractère personnel.

FOCUS sur la valeur probante des enregistrements obtenus en violation de ces règles

La Cour de Cassation a plusieurs fois rappelé l’importance pour les tribunaux de vérifier, avant même d’examiner les extraits de vidéosurveillance qui leur sont soumis à titre de preuve, si les formalités obligatoires avaient bien été respectées par l’employeur lors de l’installation de ces dispositifs.

Dans un arrêt en date du 23 juin 2021[4], la Haute Juridiction a ainsi considéré que ces bandes vidéo sont inopposables au salarié licencié lorsque que le recours à ces appareils est manifestement disproportionné.

En l’occurrence, un cuisinier avait été placé sous la surveillance constante d’une caméra, alors même qu’il exerçait seul son activité en cuisine. Les prétendus besoins d’assurer la sécurité des biens et des personnes invoqués par le dirigeant n’appelaient pas à instituer une mesure si attentatoire à la vie privée de son pizzaïolo…

Le 10 novembre 2021[5], la Chambre sociale a jugé que ces formalités ne sont pas pleinement respectées si toutes les finalités de ces mesures n’ont pas été communiquées aux instances représentatives du personnel et aux salariés. Elle en déduit l’illicéité de la preuve obtenue via ces technologies.

En l’espèce, le dirigeant d’une pharmacie avait utilisé ces enregistrements pour établir les fraudes en caisse d’une de ses salariées, et fonder, sur ces éléments, son licenciement pour faute.

La Cour de Cassation a estimé que le CSE et les employés avaient reçu une information incomplète. En effet, l’installation de ces moyens de contrôle leur avait été présentée comme uniquement destinée à assurer la sécurité des personnes et des biens dans l’officine, sans que leur attention ne soit attirée sur le fait que ce réseau de caméras permettait également, en pratique, de surveiller l’activité du personnel.

[4] Soc., 23 juin 2021, n° 19-13.856

[5] Soc. 10 nov. 2021, n° 20-12.263

GROS PLAN sur les limites à cette prétendue irrecevabilité

La Cour de Cassation a cependant considérablement atténué la portée de sa décision du 10 novembre 2021, en précisant que l’illicéité de ce moyen de preuve n’entraîne pas systématiquement son rejet des débats.

Les juges sont tenus de concilier le droit au respect de la vie privée du salarié avec le droit à la preuve de l’employeur. Pour ce faire, il leur revient d’apprécier si « l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble ».

Si tel n’est pas le cas, selon l’appréciation faite par les magistrats, alors l’extrait vidéo pourra être examiné et débattu durant l’instance au même titre que les autres preuves.

CLAP DE FIN

Pour éviter tout mauvais scénario, l’idéal est donc simplement de respecter scrupuleusement la procédure à suivre pour instaurer ces systèmes de vidéosurveillance.

Pour rappel, en dehors de ces règles spécifiques, l’employeur est tenu de satisfaire d’autres exigences. En tant que traitement de données à caractère personnel au sens large, ces captations d’images doivent évidemment respecter la législation applicable en la matière.

Cela implique en particulier que :

  • Ces dispositifs soient inscrits dans le registre des activités de traitement de l’organisme ;
  • Des mesures soient prises pour assurer la sécurité de ces données, et notamment la définition d’une stricte politique d’habilitation identifiant clairement les personnes autorisées à visualiser ces images en cas d’incident. Il est hors de question que ces vidéos soient accessibles librement par tous ;
  • Des précautions soient adoptées pour que les enregistrements ne soient pas conservés pendant des durées excessives, ne pouvant généralement pas être supérieures à un mois.

Ne vous alarmez pas ! Pas de quoi faire tout un cinéma de ces formalités si vous choisissez de vous faire accompagner par des professionnels compétents et à l’écoute de vos besoins.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.
[/av_textblock]