L’indépendance du DPO

Licenciement maladroit ou à bon droit d’un Délégué à la Protection des Données ?

Le Conseil d’État précise la notion d’indépendance du DPO [1]

Afin de lui permettre de mener à bien ses missions, le Règlement Général sur la Protection des Données (RGPD) octroie au Délégué à la Protection des Données un statut pour le moins singulier.

Ce texte communautaire est toutefois peu précis, voire contredit par les législations nationales des États membres de l’Union européenne (UE).

Dans une décision récente du 21 octobre 2022, le Conseil d’État est venu apporter quelques clarifications bienvenues[2]. De quoi remettre les organismes sur le droit chemin…

►QUOI ? Petit rappel des textes

D’après le Règlement Général sur la Protection des Données, les Délégués à la Protection des Données doivent « être en mesure d’exercer leurs fonctions et missions en toute indépendance » [Considérant 97].

Cette indépendance trouve d’abord un sens dès le début de la collaboration du DPO avec l’organisme. En effet, le choix de ce bras droit n’est pas totalement libre. Il doit être désigné en raison de son expertise juridique et technique en matière de protection des données à caractère personnel.

Quant à l’indépendance du DPO durant l’exécution et la rupture de sa collaboration avec son employeur, celle-ci est encadrée par l’article 38(3) du RGPD, qui prévoit que :

Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

►QUI ? L’indépendance du Délégué à la Protection des Données interne

Le Délégué à la Protection des Données peut être interne ou externe à l’entité qui le désigne, tant qu’il répond aux critères de compétences et qu’il n’existe aucune situation de conflits d’intérêts susceptible d’entraver ses actions.

Lorsque l’organisme souhaite faire appel à l’un de ses membres, il ne peut donc pas nommer une personne investie d’un poste à responsabilités. De par ses fonctions, celle-ci est en effet nécessairement amenée à déterminer les finalités et moyens des traitements de données, autrement dit à être responsable de traitements.

Comment un Délégué à la protection des données pourrait-il aller droit au but dans ses préconisations, si les recommandations qu’il lui revient de faire s’opposent à d’autres logiques commerciales, RH ou logistiques dont il serait lui-même aussi en charge ?

Dans une entreprise ou une collectivité, le Délégué à la Protection des Données interne ne peut donc être qu’un membre du personnel du responsable de traitement, c’est-à-dire lié à lui par un contrat de travail.

Or, en droit français, le contrat de travail se définit comme « le contrat par lequel une personne physique (le salarié) s’engage à exécuter un travail sous la subordination d’une personne physique ou morale (l’employeur), en échange d’une rémunération »[3].

Le pouvoir juridique reconnu à l’employeur sur son salarié, du fait de ce lien de subordination, n’est-il pas incompatible avec l’indépendance du DPO interne ?

Comment le DPO interne peut-il jouer son rôle non seulement de conseil, mais de contrôle et d’alerte, s’il doit se tenir droit comme un « i » vis-à-vis de sa hiérarchie ?

►POURQUOI ? La recherche d’un juste équilibre entre indépendance et subordination

Choisir un DPO interne présente plusieurs avantages : connaissance approfondie du fonctionnement de l’organisme, conscience des contraintes auxquelles la structure doit faire face en matière de protection des données, meilleure disponibilité et réactivité, etc.

Puisque le DPO interne ne peut recevoir « aucune instruction en ce qui concerne l’exercice de ses missions », sa hiérarchie ne devrait avoir un droit de regard sur lui que pour l’encadrement de ses conditions de travail, et non sur le contenu de son travail.

Exemple : son supérieur pourrait avoir son mot à dire sur son emploi du temps, notamment sur la validation de ses demandes de congés, tant que sa décision est sans rapport avec ses fonctions de DPO.

Cette relation hybride est d’autant plus compliquée lorsque le salarié n’exerce les fonctions de Délégué à la Protection des Données qu’à temps partiel. Dans une forme de schizophrénie professionnelle, l’employé est supposé être soumis à ce lien de subordination pour les missions qui ne découlent pas de son rôle de DPO, et censé pouvoir s’en extraire pour les activités qui en relèvent…

La législation ballote donc le statut de Délégué à la Protection des Données interne de gauche à droite entre indépendance et subordination…

►COMMENT ? Le cas particulier de la sanction du DPO

Pour mémoire, le Délégué à la Protection des Données « ne peut être relevé de ses fonctions ou pénalisé […] pour l’exercice de ses missions ».

Cette disposition garantit la liberté de parole du DPO. Il doit pouvoir s’opposer librement aux directives données par le responsable de traitement lorsque celles-ci sont susceptibles de compromettre la protection de données personnelles. Cet extrait du RGPD lui permet d’intervenir sans craindre de représailles – autrement dit d’agir comme son rôle, et non comme son supérieur, l’exige.

Pour autant, comme tout salarié, le DPO interne peut ne pas filer droit. Son comportement peut devenir source de difficultés dans l’entreprise…

L’indépendance du DPO définie par le RGPD est-elle synonyme d’immunité professionnelle ?

Zoom sur la jurisprudence communautaire

Dans un arrêt du 22 juin 2022, la Cour de Justice de l’Union européenne (CJUE) a précisé que l’interdiction de pénaliser un Délégué à la protection des données vise à préserver l’indépendance fonctionnelle de ce dernier[4]. En d’autres termes, ces sanctions sont interdites lorsqu’elles sont motivées par un fait tiré de l’exercice des missions de DPO.

Exemples : un retard dans l’avancement de carrière du DPO ayant déconseillé de mettre en place un traitement de données qui, après analyse d’impact sur la vie privée, présenterait des risques résiduels élevés pour les droits et libertés des personnes concernées ; le refus d’octroyer au DPO des avantages dont bénéficient d’autres salariés après qu’il ait alerté sa hiérarchie sur leur manque de sensibilisation sur les enjeux liés à la protection des données…

Mais la CJUE a précisé que ces dispositions n’ont « pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel ».

Puisque la présence d’un DPO vise à garantir l’effectivité de la législation applicable en matière de protection des données, la Cour estime qu’il reste tout à fait envisageable de sanctionner voire de licencier un Délégué à la Protection des Données qui ne possèderait plus les qualités professionnelles requises pour ce poste, ou qui n’effectueraient pas ses missions selon les prescriptions du RGPD.

► A qui de droit ? – Encore faut-il justifier que le défaut de compétences ou les fautes reprochées au Délégué à la protection des données ne résultent pas d’une carence du responsable de traitement lui-même.

En effet, celui-ci est tenu d’allouer à son salarié DPO toutes les ressources nécessaires pour exercer ses missions. Il doit lui avoir fourni le temps ainsi que les moyens financiers, humains et matériels suffisants pour accomplir sa prestation.

Cette obligation implique également d’accorder à l’employé DPO la possibilité d’entretenir régulièrement ses connaissances. D’après une étude menée par l’Agence pour la Formation professionnelle des Adultes (AFPA), 75% des Délégués à la Protection des Données interrogés expriment un besoin d’améliorer leur savoir et 44% d’entre eux considèrent devoir bénéficier d’une formation complète sur le sujet [5].

Amis DPO, vous êtes en droit de demander des formations !

Notre équipe d’experts, qualifiés par Bureau Veritas, vous propose chaque mois un enseignement et un partage d’expériences de 35 heures pour développer vos aptitudes.
RGPD-Experts vous accompagne également dans la préparation des épreuves de certification de vos compétences de DPO par Bureau Veritas, si tel est votre souhait.

Notre formation est certifiée Qualiopi, pour une prise en charge OPCO / FNE / Pôle Emploi.
Nous vous invitons à nous contacter via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

Zoom sur la jurisprudence nationale

Le 21 octobre dernier, le Conseil d’État est allé plus loin que la Cour de Justice de l’Union européenne.

Au-delà de l’hypothèse de la faute ou de l’insuffisance professionnelle, celui-ci a admis le licenciement d’un Délégué à la Protection des Données « à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés », tant que cette procédure n’est pas « incompatible avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ». Le statut de DPO ne lui confère donc aucun passe-droit.

En l’occurrence, il était reproché au salarié des carences dans l’exercice de ses fonctions (l’absence de production d’une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée), mais aussi la violation de règles internes à la société (affranchissement des chaînes hiérarchiques en s’adressant directement aux collaborateurs d’une équipe sans l’aval de son chef, ou prise de congés sans en avertir en temps utile ses supérieurs).

Il convient de rappeler que le Délégué à la Protection des Données n’est pas un salarié protégé au sens du droit du travail.[6]Son licenciement n’est ainsi régi par aucune procédure particulière. L’autorisation de l’Inspection du travail n’est donc pas nécessaire.

* * *

La Cour de Justice de l’Union européenne a rappelé que chaque État membre est libre de prévoir des dispositions plus protectrices en matière de licenciement du Délégué à la Protection des Données.[7]

En Allemagne, un DPO ne peut être congédié qu’en cas de « motifs graves ». En Espagne, il doit avoir commis une faute intentionnelle ou une négligence grave dans l’exercice de ses fonctions.

A quand une harmonisation du statut du Délégué à la Protection des Données entre les pays européens ?

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

[1] Acronyme généralement retenu pour désigner le Délégué à la Protection des Données, de l’anglais « Data Protection Officer ».

[2] La décision n°459254 du Conseil d’État du 21 octobre 2022 est disponible dans son intégralité à l’adresse suivante : https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-10-21/459254 .

[3] Selon la formule habituelle retenue par la Cour de cassation.

[4] CJUE 22 juin 2022, Leistritz AG c. LH, aff. C-534/20, [ https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462 ]

[5] « Evolution de la fonction de Délégué à la Protection des Données », Etude de 2022 menée par l’Agence pour la Formation Professionnelle des Adultes (AFPA) et disponible en ligne à l’adresse suivante : https://travail-emploi.gouv.fr/IMG/pdf/synthese_dpo.pdf .

[6] Selon la doctrine de la CNIL en la matière, confirmée par Monsieur le Sénateur Claude RAYNAL dans sa réponse ministérielle à la question écrite n°02896, publiée au JO Sénat le 25 janvier 2019.

[7] Revue de droit du travail 2022 (p.625), Fanny GABROY, « Le statut du délégué à la protection des données en droit du travail ».

Sanction infogreffe

dans Actualités, Thématiques

La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.

La CNIL[1] a, ces derniers temps, montré sa volonté de renforcer ses contrôles. Le 8 septembre 2022, sa formation restreinte a ainsi condamné la société INFOGREFFE à une amende de 250 000 euros pour avoir conservé trop longtemps les données personnelles des abonnés de son site Internet[2].

Il est temps que l’info se greffe à tous : la législation en vigueur en matière de protection des données n’autorise pas une conservation infinie des données collectées.

Infogreffe.fr ? Un service pour gagner du temps dans ses recherches et formalités

INFOGREFFE est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce français. Il propose, entre autres, d’accéder en un rien de temps aux informations légales concernant les entreprises nationales, via son site Internet « infogreffe.fr ».

Certains documents ne peuvent cependant être visualisés qu’à condition de se créer un compte payant. A cette occasion, l’entité recueille de nombreuses données personnelles sur ses abonnés : nom, prénom mais aussi coordonnées et données bancaires. Or, un des membres d’INFOGREFFE s’est aperçu que celui-ci conservait en clair les mots de passe de ses utilisateurs, et se permettait même de les communiquer par téléphone sur simple demande nominative au service d’assistance. Autrement dit, n’importe qui peut obtenir les données de connexion d’un abonné en se faisant passer pour lui lors d’un appel avec l’organisme.

Cette pratique constitue un manquement grave à l’obligation faite depuis la nuit des temps au responsable de traitement d’assurer la protection des données personnelles qu’il manipule[3]. Un comble au regard du slogan « Entreprendre en confiance » accompagnant le logo d’INFOGREFFE…

Mais surtout, la plainte de cet individu a donné lieu à l’ouverture d’une enquête par la CNIL, qui a révélé – en plus – une violation du GIE aux règles applicables en matière de conservation des données. C’est ce thème particulier, qui n’attire en temps ordinaire pas beaucoup l’attention, que nous allons ici examiner.

Détermination des durées de conservation

Le responsable de traitement ne peut pas garder indéfiniment les données personnelles qu’il recueille.

Il ne peut les conserver sous une forme permettant l’identification des personnes concernées que « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées » (art. 5(1)(e) RGPD). Cela suppose donc de prendre le temps de définir clairement, en amont, à quoi vous serviront ces données.

—–> La loi prévoit parfois une durée minimum de conservation des données

Exemple : l’article L.3243-4 du Code du travail impose à l’employeur de conserver un double des bulletins de paie de ses salariés pendant au moins 5 ans.

—–> Lorsque cela n’est pas le cas, cette durée est laissée à la libre appréciation du responsable de traitement. Celui-ci devra être en mesure de justifier que la période qu’il a arrêtée est proportionnelle à l’utilisation projetée des données[4].

Remarque :les personnes concernées doivent être informées de cette durée de conservation lors de la collecte de leurs données personnelles ou, lorsque cela n’est pas possible, des critères utilisés pour déterminer cette durée (art. 13(2)(a) et 14(2)(a) RGPD). L’organisme ne peut pas se contenter d’utiliser des phrases génériques lui permettant de faire la pluie et le beau temps sur le sujet, telle que « notre société ne conservera vos données que pour une période limitée ».

A) La conservation en base active

Les données sont conservées de façon à être facilement accessibles, car elles servent encore à réaliser l’objectif pour lequel elles ont été collectées (la finalité du traitement).

Exemple ici : un fichier recensant les abonnés du site « infogreffe.fr » ayant encore un compte actif.

ATTENTION – la conservation en base active des données n’exempte pas le responsable de traitement d’assurer, dans le même temps, leur protection. Il doit veiller à ce que ces informations soient stockées et exploitées dans un environnement sécurisé.

B) L’archivage intermédiaire

Même si la raison pour laquelle les données avaient été initialement recueillies a disparu, l’organisme peut de temps en temps avoir un intérêt administratif à garder ces renseignements. Certaines dispositions législatives ou réglementaires peuvent d’ailleurs le lui imposer.

Exemple ici : les factures et documents comptables émis par le site « infogreffe.fr » doivent être conservés pendant 10 ans, alors même que l’intéressé ne serait plus abonné, conformément à l’article L.123-22 du Code du commerce.

Cette étape suppose que l’organisme opère un tri entre les données qu’il estime devoir garder, et celles qui ne lui sont plus d’aucune utilité.

Les données personnelles toujours nécessaires devront être stockées dans des espaces distincts de celles conservées en base active. Elles ne pourront être consultées que de manière ponctuelle, par des personnes spécialement habilitées justifiant de leur besoin d’en connaître.

En l’occurrence, la « Charte de confidentialité » du site web « infogreffe.fr » prévoyait que les données de ses abonnés seraient conservées pendant 36 mois à compter de la dernière commande de prestation et/ou de documents, sans prendre en compte une possible extension de cette période pour la prévention des contentieux.INFOGREFFE a omis à tort de détailler, dans sa politique de durées de conservation des données, qu’il entendait garder ces informations plus longtemps pour d’éventuelles opérations de recouvrement.

D) L’archivage définitif

Lorsque les données personnelles ont fait leur temps et ne présentent plus aucun intérêt pour l’organisme, elles doivent être détruites. Cette opération doit être menée régulièrement et en temps utile. Une suppression fréquente des données obsolètes joue tant en faveur des personnes concernées que de l’entité

Exemple : en cas de cyberattaque, l’ampleur de la violation des données personnelles exploitées par l’organisme sera ainsi limitée, ce qui pourra être un argument pour diminuer d’autant sa responsabilité.

ATTENTION – Des règles spécifiques s’appliquent à l’égard des archives publiques et des données présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles ne fassent l’objet d’aucune destruction. Ces régimes singuliers sont notamment inclus au sein du Code du patrimoine.

« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »

Application de la durée de conservation

La seule détermination d’une durée maximale de conservation des données ne suffit pas à être conforme. Encore faut-il prendre les mesures qui s’imposent pour traduire cet engagement dans les faits. Ici, les investigations de la CNIL ont révélé que les données collectées par INFOGREFFE n’ont pas été supprimées à temps. Un quart des données des comptes souscrits sur son site a en effet été conservé au-delà des 36 mois affichés par l’organisme.

Votre conformité suppose de vous doter des moyens humains, matériels et financiers nécessaires pour concrétiser votre politique de durée de conservation des données. » Votre vigilance ne doit pas être un passe-temps mais bien une occupation à plein temps.

Remarque : l’obligation de limiter la durée de conservation ne vise que les données « permettant l’identification des personnes concernées ». Elle est donc écartée lorsque les données ont été anonymisées, c’est-à-dire lorsqu’un ensemble de techniques ont été employées pour rendre impossible, et de manière irréversible, toute identification de la personne.

Exemple : remplacer les données identifiantes (nom, prénom…) par des données non identifiantes (alias, numéro…).

Le cas d’INFOGREFFE révèle que la CNIL peut, lors de son contrôle, mettre en évidence d’autres problèmes que ceux pour lesquels elle avait été saisie. En l’absence d’une « démarche RGPD continue » au sein de votre organisme, il vous sera impossible de rectifier l’ensemble de vos lacunes à temps pour les camoufler aux yeux de la Commission.

“Que tout le temps qui passe, ne se rattrape guère… Que tout le temps perdu, ne se rattrape plus !” Barbara

Par les temps qui courent, nous ne pouvons que vous conseiller de ne pas perdre de temps pour assurer votre mise en conformité et votre maintien en conformité.

Soyez dans l’air du temps, et automatisez vos process !

RGPD-Experts a conçu pour vous REGISTER +, un registre des activités de traitement entièrement dématérialisé permettant de suivre simplement et efficacement votre conformité.

Dotée entre autres d’une fonction de stockage et d’archivage des anciens traitements de données, REGISTER + sera pour vous un précieux outil de pilotage de vos démarches RGPD. Cette solution dispose notamment de modules vous permettant d’affecter et de suivre des tâches à date programmée, idéals pour une gestion organisée et sereine des durées de conservation de vos données.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La délibération complète de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all

[3] En effet, cette obligation n’est pas une nouveauté issue du Règlement Général sur la Protection des Données (RGPD), mais est imposée depuis plus de quarante ans par la loi dite « Informatique et Libertés » du 06 janvier 1978.

[1] Les référentiels et anciennes normes simplifiées de la CNIL peuvent servir de guides en la matière.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Conformité et rentrée 2022

dans Actualités

Rentrée 2022 des associations et centres de loisirs :

Jouez-le jeu de la conformité !

Si la rentrée des classes en a peut-être attristé plus d’un, le mois de septembre annonce aussi avec joie le retour des activités extra-scolaires et extra-professionnelles. Musique, sport, art : pour permettre à leurs adhérents de profiter de leurs offres, les organismes en charge de ces hobbies opèrent nécessairement divers traitements de données.

Et comme chaque rentrée s’accompagne de bonnes résolutions : plus question pour ces entités de se contenter de rassembler de vulgaires formulaires d’inscription ou de constituer des groupes de mails de participants ! Fini d’être vieux jeu !

Que vous soyez en charge de l’animation de ces activités ou membre d’un club, l’heure est venue de clarifier les règles du jeu applicables en matière de protection des données personnelles au sein de ces structures de loisirs.

Ne croyez pas pouvoir fausser le jeu : ces exigences sont valables pour tous les systèmes d’information, qu’ils soient manuscrits ou numériques. Le fait que votre club ne soit pas équipé d’appareils informatiques ne change rien. Vos dossiers papiers méritent, eux aussi, toute votre attention.

Mais n’ayez crainte, nous vous le promettons : en matière de conformité, le jeu en vaut la chandelle ! [1][2][3]

[1] En dehors de ces recommandations relatives aux traitements des données personnelles des adhérents des centres de loisirs, les organismes concernés peuvent être amenés à manipuler celles de leurs salariés ou bénévoles. Il convient de noter que des règles spécifiques sont applicables pour la gestion des données personnelles collectées dans le cadre de ces activités de ressources humaines.

[2] Conformément au principe de minimisation des données personnelles prévu à l’article 5(1)(c) du Règlement Général sur la Protection des Données (RGPD).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

① Identifier les flux de données ainsi que les opérations de traitement indispensables au fonctionnement du centre de loisir

D’entrée de jeu, l’organisme doit analyser les besoins en données personnelles de ses membres. Il doit déterminer pourquoi ces informations lui seront nécessaires, c’est-à-dire la finalité de leur collecte.

Exemple: recenser le nombre d’adhérents, leur niveau ou encore le jour auquel ils se sont inscrits pour générer un planning d’activités, créer un fichier destiné à organiser des tournois et compétitions, enregistrer un spectacle pour en faire un CD vendu à l’issue de la représentation, réaliser des statistiques pour coordonner les relations avec des partenaires (collectivités, sponsors…), etc.

Le responsable de traitement ne peut recueillir que les seules données strictement adéquates, pertinentes et nécessaires à atteindre ces finalités². Nous vous conseillons donc :

De limiter autant que possible les traitements de données réalisés ;

Exemple : l’établissement d’un trombinoscope est-il essentiel pour mener à bien l’activité de loisir. De restreindre le type et le volume des données personnelles recueillies uniquement à celles permettant d’accomplir ces objectifs.

Exemple: les structures de loisir n’ont pas besoin de connaître le numéro de sécurité sociale de leurs membres. De même, les clubs sportifs ont seulement besoin de connaître l’absence de contre-indications de leurs adhérents à la pratique du sport, par le biais d’un certificat médical.

Il ne leur appartient pas de savoir les causes d’une éventuelle incapacité de leur membre à poursuivre l’activité en compétition, et encore moins d’établir eux-mêmes une « fiche médicale » à remplir par l’intéressé ou d’exiger une photocopie de son carnet de santé. Ces documents comprennent des données non seulement sensibles, mais aussi certaines couvertes par le secret médical.

Les organismes ayant recours à de telles pratiques risqueraient d’être mis hors jeu par la CNIL³.

② Instaurer une organisation interne garantissant la conformité du centre de loisir

Au-delà des précautions entourant le choix des traitements de données à effectuer, la structure de loisir doit respecter l’ensemble des autres obligations légales lui incombant en matière de protection des données.

Cela implique notamment :

De s’interroger sur la nécessité voire l’obligation de désigner un Délégué à la Protection des Données ;

Dans tous les cas, nous vous recommandons qu’une personne soit nommée comme référent sur le sujet.

De mettre en œuvre les mesures juridiques, logiques et physiques appropriées propres à assurer la sécurité des données manipulées ;
De définir une procédure destinée à gérer efficacement les demandes d’exercice de droits des personnes concernées par le traitement de leurs données personnelles ;
De rédiger et tenir à jour un registre des activités de traitement ;

Cette formalité impérative sera l’un des premiers points vérifiés par les autorités compétentes en cas de contrôle. Afin de constituer et actualiser rapidement ce registre, avec l’ensemble des mentions requises, RGPD-Experts a mis au point pour vous une solution simple d’utilisation : REGISTER +.

Il est essentiel d’anticiper et de veiller au maintien d’une « dynamique RGPD » constante, car quand « les jeux sont faits, rien ne va plus ».

ATTENTION AUX JEUX DE DUPES

Certains traitements de données peuvent être mis en œuvre par d’autres entités. Il incombera alors à ces dernières de veiller au respect de la législation en vigueur en matière de protection des données si elles ont déterminé seules « les finalités et les moyens » de ce traitement.

Exemple : une mairie mettant à disposition d’une association un local équipé d’un système de vidéosurveillance.

③ Organiser la collecte des données personnelles des adhérents et leur information

Les centres de loisirs sont tenus de jouer franc-jeu à l’égard des personnes concernées. Celles-ci doivent être informées du traitement fait de leurs données personnelles, ainsi que des principales caractéristiques de ces opérations de traitements. Les informations devant être obligatoirement communiquées sont énumérées aux articles 13 et 14 du RGPD. Il convient cependant d’apporter quelques précisions.

Nous vous invitons à distinguer, dans l’intégralité de vos formulaires, les données obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Ainsi, vos adhérents pourront choisir de vous fournir ou non certaines informations supplémentaires les concernant.

Nous vous invitons également à détailler précisément les raisons pour lesquelles vous recueillez ces informations, de manière à ce que vos futurs membres puissent s’opposer à l’utilisation de leurs données personnelles pour certaines finalités précisément identifiées.

► Attention particulière selon le type de données récoltées

Chacun dispose sur son image d’un droit exclusif et absolu. La représentation d’une personne fait l’objet d’une protection accrue. Elle est garantie tant par la législation en vigueur en matière de protection des données que par l’article 9 du Code civil.

Conséquence : la prise de photographies et de vidéos ainsi que la diffusion de ces enregistrements ne peuvent s’effectuer que sous de strictes conditions.

Au-delà de l’information des adhérents sur ces captations envisagées, le centre de loisirs devra préalablement avoir recueilli leur autorisation. Les intéressés doivent pouvoir refuser que leur image soit utilisée pour telle ou telle finalité. Le club ne pourra pas davantage exploiter la photo / vidéo prise à d’autres fins que celle pour laquelle ses membres avaient consenti de se prêter au jeu.

Nous vous recommandons donc d’être vigilant lorsque vous souhaitez élaborer un trombinoscope, re-visualiser les matchs pour augmenter les performances de vos joueurs, poster des photos en ligne pour faire la publicité de votre activité, etc.

► Attention particulière selon les personnes concernées par le traitement de leurs données

L’information dont est redevable le centre de loisirs à ses adhérents doit leur être délivrée par tout moyen approprié lors de la collecte de leurs données.

Cette information doit être claire, concise et précise. Elle doit également être facilement accessible : les intéressés ne doivent pas trouver ces renseignements à l’issue d’un véritable jeu de piste les renvoyant de bureaux en bureaux, ou de liens hypertextes en liens hypertextes.

Il convient donc de diversifier les modes de communication employés. Votre politique de protection des données peut être rendue disponible sur votre site, affichée dans vos locaux, inscrite dans le livret de présentation de vos activités, sur les formulaires d’inscription, expliquée à l’oral lors des réunions de présentation, etc.

Il y a également lieu d’adapter la forme de cette information au public visé. Si ces renseignements doivent être transmis au représentant légal de l’enfant lorsqu’un mineur est concerné, nous vous conseillons tout de même d’utiliser des images ludiques permettant à ces jeunes de comprendre leurs droits en la matière, et d’évoquer le sujet avec eux.

► Attention particulière concernant les destinataires ultérieurs des données récoltées

Si le centre de loisirs entend communiquer les données personnelles de ses membres à des tiers, il doit les en aviser. Ces derniers doivent être informés qu’ils peuvent, en principe, s’y opposer.

Exemple : Les clubs ou associations affiliés à une fédération sportive sont tenus de transférer les certificats médicaux de leurs adhérents à la fédération pour leur délivrer leur licence (art. L.231-2 du Code du sport).

A l’inverse, une mairie ne saurait exiger la transmission des données recueillies par une association au prétexte qu’elle finance en partie son activité, ni conditionner ses subventions à la communication de ces données.

► Attention particulière concernant la réutilisation, à d’autres fins, des données collectées

Le RGPD ne tolère pas les doubles-jeux : l’organisme de loisirs ne peut pas réutiliser les données personnelles de ses adhérents pour atteindre un autre but que celui qu’il avait initialement affiché, sauf si ces derniers y consentent.

Exemple: la publication en ligne des résultats obtenus par un membre suppose qu’il y ait préalablement consenti. De même, il est interdit d’utiliser des informations collectées pour établir une carte d’adhérent à des fins de prospection commerciale si l’intéressé n’en avait alors pas été informé, ou s’y était opposé.

Ces exigences issues de la législation en vigueur en matière de protection des données ne sont qu’un échantillon des obligations incombant aux responsables de traitement. Les centres de loisirs jouent gros s’ils ne s’y conforment pas. Outre les sanctions pénales et administratives encourues, la réputation voire la survie de l’entité sont en jeu. Le statut d’association ou la petite taille de la structure ne sont pas gage d’impunité : la CNIL veille à calmer le jeu de celles qui tricheraient au détriment de la sécurité des données personnelles de leurs membres.

Pourtant, la mise en conformité et le maintien en conformité d’une entité peuvent s’avérer être un jeu d’enfant, si elle est correctement accompagnée dans ses démarches. En bénéficiant des conseils de professionnels à l’écoute, ayant à cœur de trouver des solutions adaptées à ses activités et ses contraintes, l’organisme pourra alors tirer son épingle du jeu !

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

interview au Figaro

dans Actualités, News

Accompagner les entreprises soumises aux évolutions réglementaires

Le Règlement général sur la Protection des données, entré en application le 25 mai 2018, a pour objectifs de protéger les libertés et droits fondamentaux des personnes physiques tout en garantissant la libre circulation des données à caractère personnel au sein de l’Union européenne et des pays adéquats. À l’heure actuelle, la protection des données est un enjeu majeur pour les entreprises souhaitant traiter un maximum de données le plus qualitativement possible tout en respectant leurs clients, leurs collaborateurs et les nouvelles réglementations induites par les autorités de contrôle.

Face à cet enjeu, les deux sociétés ont mis en commun leurs connaissances et leurs compétences autour d’un partenariat ayant donné naissance au logiciel Register +. D’une part, la société suisse Rumya est spécialisée dans le développement d’outils digitaux de mise en conformité depuis 2018. D’autre part, la société française RGPD-Experts, spécialisée dans la protection des données depuis 2005, accompagne l’intégration de la réglementation dans les entreprises.

Garantir la conformité RGPD

Conçu par des praticiens confirmés de la protection des données et de la sécurité informatique, Register + est un logiciel offrant une réponse concrète aux entreprises. Facile à mettre en œuvre, il propose une approche très pragmatique et assiste efficacement les professionnels au quotidien. La solution permet de respecter l’intégralité des besoins en termes de registres et de suivi de la conformité. Elle donne également la possibilité de démontrer que l’entreprise a répondu adéquatement aux exigences du RGPD en matière de respect des droits des personnes, de gestion des violations de données et de gestion des consentements.

Grâce à ces fonctionnalités, les entreprises peuvent prouver leur conformité tout en apportant une vraie valeur ajoutée, en termes de maitrise de leur patrimoine de données et d’optimisation de leurs processus.

La sécurité informatique, et par conséquent la confiance numérique, n’a jamais été aussi sensible, tant pour le législateur que pour les utilisateurs de ces services digitaux.

Découvrez l’inégalité de l’interview ici

nos données de santé convoitées par les hackers

dans Actualités, News

L’HÔPITAL DE CORBEIL-ESSONNES : ÉNIÈME VICTIME DES CYBERATTAQUES
MENÉES CONTRE LES ÉTABLISSEMENTS DE SANTÉ

Après le CHU de Rouen, les hôpitaux de Dax, de Saint-Gaudens, d’Angers ou encore de l’Assistance Publique – Hôpitaux de Paris (AP-HP), le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes vient à son tour d’être la cible d’une attaque informatique.

Des hackers ont pris le contrôle de son réseau informatique dans la nuit du 20 au 21 août 2022. Les auteurs de cette intrusion, encore inconnus, réclament le paiement de 10 millions de dollars en échange du rétablissement des systèmes touchés.

DES PIRATES INFORMATIQUES SANS FOI NI LOI

Selon l’Agence Nationale de la Sécurité des Systèmes d’Information[1] (ANSSI), 27 hôpitaux ont subi une cyberattaque durant l’année 2020. En 2021, il lui a été rapporté un incident de sécurité par semaine par des organismes relevant du domaine de la santé[2].

Mais pourquoi saborder les systèmes informatiques des hôpitaux ?

Ces pirates modernes sont à la recherche d’un butin d’un nouveau genre : vos données de santé. Ces informations sensibles vous concernant peuvent en effet être revendues à prix d’or sur le « Dark Web », ces réseaux secrets d’Internet où les internautes s’adonnent à de nombreuses activités illégales.

Les hackers réclament également souvent une rançon, en promettant en contrepartie de restaurer l’infrastructure numérique de l’entité ciblée. Cumulées, ces ventes et ces rançons font de ces cyberattaques une affaire particulièrement lucrative, qui en détermine plus d’un à partir à l’assaut de ces trésors dématérialisés.

Comment ces pirates vont à l’abordage de vos infrastructures numériques ? – Zoom sur les rançongiciels

Un rançongiciel, plus connu sous sa dénomination anglaise de « ransomware », est un programme introduit illicitement dans les systèmes informatiques d’une victime pour les rendre hors service.

Les hackers proposent ensuite, à ces utilisateurs démunis, de leur fournir le moyen de ré-accéder à leurs réseaux, notamment en leur communiquant les méthodes cryptographiques utilisées pour chiffrer leurs données, à condition toutefois de leur verser la somme d’argent qu’ils exigent.

Comme son nom l’indique, le rançongiciel est donc une infraction à double égard : il s’agit d’une intrusion frauduleuse dans un système informatique et d’une extorsion (ou tentative d’extorsion si la rançon n’est pas payée), le tout éventuellement commis en bande organisée[3].

Nous vous déconseillons vivement de vous acquitter de la rançon réclamée !

En effet, faire droit à cet odieux chantage ne vous garantit non seulement pas de récupérer vos données, ni encore moins de les retrouver intègres[4], mais il entretient ces pratiques interdites. Donner à ces cybercriminels les fonds qu’ils revendiquent les incite à poursuivre leurs actions néfastes.

Céder à ces demandes ne règle donc en rien les problèmes que vous rencontrez en matière de protection des données personnelles et en termes de continuité d’activité. N’oubliez pas que ces hackers sont bien des pirates : ils ne vous feront pas de quartier !

QUEL AVENIR NUMÉRIQUE POUR LES ÉTABLISSEMENTS DE SANTÉ ?

La protection des données personnelles essuie, elle aussi, les conséquences du manque de moyens des hôpitaux publics. Outre l’impossibilité de remplacer du matériel informatique souvent vétuste, les budgets limités des établissements de santé ne leur permettent pas de former leurs personnels sur les bons réflexes à adopter pour protéger les informations sensibles qu’ils manipulent.

Quant à recruter des spécialistes en cybersécurité, l’option excède les capacités financières d’une administration peinant déjà à rémunérer ses propres soignants…

Ironie de l’histoire, l’attaque visant le CHSF est intervenue alors même que l’hôpital terminait son propre diagnostic de sécurité avec l’ANSSI dans le cadre de la « Stratégie Cyber » lancée par le Président de la République. Ce programme initié en février 2021 avait spécifiquement alloué un budget de 25 millions d’euros aux établissements de santé[5].

Le Ségur de la Santé a également prévu de dédier près de 350 millions d’euros au renforcement de la sécurité numérique de ces établissements⁵. Des fonds vraisemblablement plus que bienvenus…

« Capture d’écran du compte Twitter de Jean-Noël Barrot, le 26 août 2022 »

DES PIRATAGES DE LOURDES CONSÉQUENCES, MORBLEU !

Comme l’indique le CHSF dans un communiqué, celui-ci n’a pas eu d’autres choix que de déclencher son plan blanc[6]. Malgré sa couleur, ce pavillon n’a pas été hissé en signe de paix contre ses assaillants, mais bien en signe d’urgence.

L’ensemble de l’infrastructure numérique de l’hôpital de Corbeil-Essonnes a en effet été affecté. Les logiciels métiers, les systèmes de stockage, d’imagerie médicale et les dispositifs destinés à traiter l’admission des patients ont tous été placés hors d’état de fonctionner.

La flotte des 3.700 professionnels de santé de l’hôpital est dès lors contrainte de travailler depuis plusieurs semaines en mode « dégradé ». Le retour à une logistique faite de papier et de crayon s’impose.

Ce fonctionnement dégradé est nécessairement synonyme de prise en charge dégradée pour les malades. Malgré les efforts du centre hospitalier, les patients, dont les soins nécessitent l’utilisation des dispositifs techniques touchés, sont redirigés vers d’autres hôpitaux de la région d’Ile-de-France. Seules les personnes dont l’état ne suppose pas d’examens approfondis sont acceptées dans les consultations d’urgence. Certaines opérations prévues dans les semaines à venir ont dû être déprogrammées.

Ce véritable branle-bas de combat a nécessairement eu un impact sur l’activité même de l’hôpital de Corbeil-Essonnes. Dans une information à destination des usagers, l’organisme précise que son flux des urgences a diminué de plus de la moitié, le service ne prenant plus en charge que 90 patients par jour au lieu des 230 accueillis habituellement au quotidien[7].

Comme toujours après de telles cyberattaques, le retour à la normale sera long…

« Mieux vaut prévenir que guérir »

L’importance de définir à l’avance un plan de continuité d’activité et un plan de reprise d’activité

Les cyberattaques peuvent avoir de graves répercussions sur la poursuite régulière de l’activité d’un organisme, voire même sur sa survie. Qu’elles soient publiques ou privées, qu’elles relèvent du domaine de la santé ou non, toutes les entités sont concernées.

Au-delà de la perte des données, les risques encourus par la victime sont considérables : chiffre d’affaires en chute libre durant l’arrêt temporaire ou le ralentissement de l’activité (qui peut durer plusieurs mois), possibles poursuites judiciaires ou administratives en raison des manquements de l’organisme victime à la législation en vigueur sur la protection des données personnelles, atteinte à la réputation de l’entité, perte de confiance des clients et des partenaires commerciaux, etc.

Afin d’éviter de subir de tels préjudices, il est recommandé de déterminer en amont un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA). Ces documents visent à définir la stratégie à mettre en place pour surmonter ces incidents. Ils ont pour but d’identifier et d’organiser l’ensemble des moyens et procédures à suivre pour limiter autant que possible les effets de ces cas de force majeure.

Il s’agit notamment :

D’anticiper d’éventuelles cyberattaques

Plusieurs solutions permettent de minimiser l’impact d’un rançongiciel. Votre plan peut mettre en avant ces bonnes habitudes, telles que :

sauvegarder régulièrement vos données pour remédier à leur destruction / compromission par des personnes malveillantes ;
mettre à jour vos logiciels afin d’éviter l’exploitation des failles et vulnérabilités pouvant s’y trouver, et qui constituent autant de points d’entrées dans vos systèmes informatiques ;
actualiser et mettre à jour vos anti-virus ;
cloisonner vos systèmes d’information pour cantonner la propagation d’un logiciel nuisible d’une machine à l’autre ;
sensibiliser vos collaborateurs sur les comportements à éviter (ouvrir des mails suspects par exemple), etc.

De réagir face à d’éventuelles cyberattaques

Définir préalablement les étapes à suivre en cas de piratage vous permettra d’y mettre rapidement fin si celui-ci se produit.Il peut notamment être question de préciser :

la nécessité de déconnecter et d’isoler les machines infectées ;
où et comment trouver l’assistance requise ;
comment communiquer sur cette cyberattaque au juste niveau (tant en interne qu’externe) ;
comment prioriser les activités à maintenir et leur mode de fonctionnement « dégradé » ;
comment accomplir les formalités administratives consécutives à cette intrusion (plainte, assurance, échanges avec la CNIL[8]…), etc.

Au-delà de leur qualité de victime, les organismes subissant une cyberattaque sont souvent elles-mêmes coupables : coupables d’un manquement à leur obligation de protéger les données personnelles qui leur avaient été confiées. Or, même sans divulgation de ces informations à des tiers, leur indisponibilité temporaire constitue une violation de données imposant à l’organisme, éventuellement et selon les cas, de notifier l’incident à la CNIL et / ou aux personnes concernées.

Afin d’éviter de naviguer en eaux troubles à cause de ces pirates du Web, et de voir vos activités tanguer sous leur emprise, il est donc essentiel d’établir ces plans. La maîtrise de ces thématiques ne s’improvise toutefois pas. Nous vous conseillons de vous faire accompagner dans vos démarches par des professionnels justifiant d’une expertise et d’une connaissance pratique du sujet.

L.H

[1] L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle est chargée de promouvoir les technologies en matière de cybersécurité, et de contribuer ainsi au développement de la confiance du public dans le numérique. Elle accompagne et contrôle notamment sur ce sujet les opérateurs d’importance vitale, à savoir les organismes relevant de secteurs indispensables à la survie de la Nation (énergie, transport, santé, pouvoirs régaliens, etc.).

[2] ANSSI, Portrait de la relance, « Centre hospitalier universitaire de Reims », https://www.ssi.gouv.fr/agence/cybersecurite/france-relance/portraits-de-la-relance/centre-hospitalier-universitaire-de-reims/

[3] Ces infractions sont prévues et punies par les articles 323-1 et suivants (s’agissant de l’intrusion frauduleuse dans un système informatique) et 312-1 du Code pénal (s’agissant de l’extorsion).

[4] Les cybercriminels peuvent avoir corrompu vos fichiers avant de vous les restituer, afin de les affecter de failles leur permettant de vous pirater de plus belle par la suite. Ils peuvent aussi avoir effectué une copie de vos bases de données, et continuer ainsi de porter atteinte à la confidentialité et à l’intégrité de ces informations.

[5] « La stratégie nationale de cybersécurité des établissements de santé », article publié le 22 février 2021, https://www.gouvernement.fr/actualite/la-strategie-nationale-de-cybersecurite-des-etablissements-de-sante

[6] Communiqué de presse du CHSF, https://www.chsf.fr/declenchement-du-plan-blanc-dimanche-21-aout-2022/

[7] Information des usagers du CHSF, https://www.chsf.fr/informations-usagers/

[8] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Géolocalisation des véhicules de location

dans Actualités, News, Thématiques

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

Comme bon nombre de français, vous avez peut-être été amenés à louer une voiture au cours de ces derniers mois, que ce soit pour vos déplacements professionnels ou à l’occasion de vos vacances. Mais, bien qu’utiles, ces services ne sont pas toujours exemplaires lorsqu’il s’agit de protéger les données à caractère personnel de leurs clients.

Les radars de la CNIL viennent de se diriger contre les pratiques de la société UBEEQO INTERNATIONAL. Ces filiales du groupe « EUROPCAR MOBILITY GROUP », présentes dans plusieurs pays européens, proposent une offre de location de véhicules partagés intégralement numérique.

UBEEQO INTERNATIONAL en a sous le capot pour garantir à ses clients la « flexibilité de service » qu’il vante tant. L’idée est simple : les voitures sont laissées en libre accès dans des zones dédiées. Les personnes intéressées s’inscrivent en ligne, en indiquant notamment leurs dates et le lieu où elles souhaitent récupérer le véhicule. A la fin de leur période de location, elles restituent leur bolide au même endroit, sans qu’aucun membre du personnel d’UBEEQO INTERNATIONAL ne soit jamais intervenu.

Mais derrière cette liberté et cette simplicité apparentes, se cache une tout autre réalité. Les traitements de données mis en œuvre par UBEEQO INTERNATIONAL pour gérer son activité ont récemment fait l’objet d’un contrôle, non pas routier, mais du gendarme français de la protection des données personnelles.

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

L’enquête menée par la CNIL[1] a révélé que les véhicules mis à disposition par UBEEQO INTERNATIONAL sont géolocalisés lorsque leur moteur s’allume ou s’éteint, à chaque fois que leurs portes sont ouvertes et fermées, et tous les 500 mètres lorsqu’ils se déplacent. La filiale est également capable d’activer à distance un dispositif permettant de situer ses voitures en temps réel.

Ces paramètres induisent mécaniquement une géolocalisation quasi-permanente des conducteurs.

L’AUTOrité régulatrice a conclu que la société avait principalement manqué à trois des exigences issues du Règlement Général sur le Protection des Donnés (RGPD). Elle qualifie ces dérapages comme étant :

① Une violation du principe de minimisation des données

Conformément à l’article 5(1)(c) du RGPD, le responsable de traitement ne peut pas recueillir n’importe quels type et volume de données personnelles. Il ne peut collecter que les seules données adéquates et pertinentes lui permettant d’atteindre l’objectif qu’il poursuit.

UBEEQO INTERNATIONAL a tenté d’enjoliveur… pardon d’enjoliver…les finalités de sa collecte massive des données de géolocalisation de ses automobiles, en indiquant que celle-ci était indispensable pour :

La gestion de son activité (assurer la maintenance de ses véhicules, contrôler le passage d’une voiture dans et hors d’une zone de péage urbain, son éventuelle restitution dans un autre endroit…);
Retrouver les voitures louées en cas de vol ;
Porter assistance à ses clients, notamment en cas d’accident.

La CNIL a toutefois décidé qu’aucune de ces finalités ne justifie une collecte aussi fine et excessive des données de géolocalisation des conducteurs par UBEEQO INTERNATIONAL.

Elle estime que la société dispose de moyens moins attentatoires au droit au respect de la vie privée des chauffeurs pour parvenir à ses fins. Elle l’invite à trouver d’autres alternateurs…euh alternative pour maîtriser sa flotte de véhicules. Les positions géographiques des automobilistes peuvent par exemple être consignées uniquement au début et à la fin de la location plutôt que sur l’ensemble de leur période de location, ou seulement à compter d’un fait générateur (demande d’assistance ou suspicion de vol).

Le feu vert du Comité Européen de la Protection des Données (CEPD)

Dans ses lignes directrices du 4 octobre 2017, le « Groupe de travail de l’article 29 »[2] a qualifié les données de géolocalisation comme étant des « données à caractère hautement personnel ». Et pour cause, elles ont un impact sur une liberté fondamentale : la liberté de circulation[3].

Ces données sont également un point d’entrée dans l’intimité des personnes concernées. Elles permettent en effet de déduire leurs habitudes de vie en fonction de leurs déplacements : leur lieu de travail et donc leur activité professionnelle, leur domicile, voire leur religion, leur orientation sexuelle ou leur état de santé, selon les lieux qu’elles fréquentent.

② Une violation du principe de limitation des durées de conservation des données

L’article 5(1)(e) du RGPD impose que les données personnelles ne soient conservées que pendant une durée limitée, « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles traitées ».

Il appartient au responsable de traitement de déterminer cette durée, selon ses besoins et les spécifiés de son activité. Il lui revient également de justifier sa décision en cas de contrôle.

En l’occurrence, UBEEQO INTERNATIONAL avait défini une politique de conservation des données fixant à trois ans la durée de conservation des données de géolocalisation des conducteurs.

La CNIL considère ce délai excessif, en ce qu’il commençait à courir non pas à compter de la fin du contrat de location, mais de la fin de la relation commerciale avec le client. Or, celle-ci peut intervenir bien après la prestation de service, puisque la date d’arrêt d’une relation commerciale correspond à celle de la dernière manifestation d’intérêt du client (suppression d’une réservation en cours sur l’application de la société, clic sur le lien d’une newsletter émise par l’entreprise, connexion à son compte individuel…).

L’autorité de contrôle n’a pas apprécié ce problème de compteur. Elle a jugé que cette période de trois ans dépassait les besoins de la société. Elle déclare qu’UBEEQO INTERNATIONAL pouvait décemment gérer à distance son parc automobile, porter assistance à ses clients et localiser ses voitures volées en enregistrant la position de ses véhicules durant un temps plus court.

Mais surtout, la CNIL a insisté sur le fait qu’il ne suffit pas de définir une politique de conservation des données pour être conforme. L’important est de la respecter. Or, en l’espèce, les investigations menées par la Commission ont révélé que les systèmes d’information d’UBEEQO INTERNATIONAL stockaient des historiques de géolocalisation d’utilisateurs pourtant inactifs depuis plus de huit ans. Preuve que la conformité de la société est un pneu…oups un peu moins aboutie dans les faits qu’elle ne veut bien le prétendre.

③ Une violation de l’obligation d’information des personnes concernées

Pour finir, il est reproché à UBEEQO INTERNATIONAL d’avoir manqué à son obligation d’information à l’égard de ses clients.

Ces derniers doivent être renseignés sur l’existence d’un traitement de leurs données personnelles et sur les principales caractéristiques de ce traitement[4]. L’article 12 du RGPD prévoit que cette information doit être fournie d’une façon « concise, transparente, compréhensible et aisément accessible ».

Dans cette affaire, au moment de remplir leur formulaire d’inscription, les utilisateurs de l’application et du site Internet d’UBEEQO INTERNATIONAL pouvaient uniquement cliquer sur un lien les renvoyant vers les conditions générales d’utilisation, qui contenaient elles-mêmes un autre lien permettant d’accéder à la politique de confidentialité de la société.

Ces pratiques ne sont pas AUTOrisées. Le fait que la politique de protection des données d’UBEEQO INTERNATIONAL ne soit pas clairement différenciée, à première vue, des autres documents contractuels de l’entreprise (les conditions générales d’utilisation) et qu’elle ne puisse être obtenue qu’après un parcours de plusieurs clics ne permet pas de la consulter facilement. Le critère d’accessibilité fait défaut.

UBEEQO INTERNATIONAL va devoir se serrer la ceinture. Pour répondre de toutes ces violations, la CNIL l’a condamné le 7 juillet 2022 à payer une amende administrative de 175.000 euros[5] ! Si la société de location de véhicules semble avoir négligé de s’interroger sur l’impact de la législation en vigueur en matière de protection des données sur sa propre activité, elle s’est ainsi pris un sacré retour de manivelle !

« Les nouveaux usages des données de géolocalisation » étaient l’un des thèmes prioritaires de contrôle de la CNIL en 2020. L’enquête menée spontanément par la Commission à l’encontre d’UBEEQO INTERNATIONAL prouve que les axes d’investigations qu’elle définit chaque année ne sont pas de simples déclarations de principe.

Les trois thématiques prioritaires de contrôle de la CNIL pour l’année 2022 sont :

– La prospection commerciale ;

– Les outils de surveillance mis en place dans le cadre du télétravail ;

– Les services de cloud.

Si votre organisme est concerné par l’une ou plusieurs de ces situations, nous vous conseillons de vous faire accompagner dans vos démarches de conformité par des professionnels. Ne risquez pas à votre tour un accrochage avec l’autorité de contrôle !

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 du 04 octobre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf.

[3] Le « Groupe de travail de l’article 29 », dit « G29 », a été remplacé par le Comité Européen sur la Protection des Données (CEPD) à l’occasion de l’entrée en vigueur du RGPD.

[4] Les mentions obligatoires devant figurer dans ces informations diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées. Elles sont prévues aux articles 13 et 14 du RGPD.

[5] La délibération SAN-2022-015 de la CNIL du 7 juillet 2022 est disponible dans son intégralité à l’adresse suivante : ici

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Le coût de la conformité

dans Actualités, Thématiques

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

A l’occasion de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, de multiples responsables d’organismes ont appréhendé cette législation comme une contrainte supplémentaire inhibant la gestion de leurs activités.

Six ans passés après l’adoption de ce texte, nombre d’entre eux continuent de percevoir les questions relatives à la protection des données personnelles uniquement comme un trou dans leur portefeuille et une source de dépenses inutiles. Mais est-ce vraiment le cas ?

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

La mise en conformité initiale d’une entité et le maintien de sa conformité l’exposent effectivement à s’acquitter de diverses charges.

Mettre en place et tenir à jour un registre des activités de traitement, réaliser des analyses d’impact sur la protection des données, créer des procédures internes, gérer efficacement les demandes d’exercice de droits des individus concernés, former et sensibiliser ses collaborateurs sur ces problématiques voire recruter des personnes compétentes… : respecter la législation applicable en matière de protection des données personnelles suppose la mobilisation de moyens humains et matériels non négligeables.

Cela implique généralement l’installation de dispositifs techniques appropriés, ainsi que l’aménagement de créneaux dédiés à la prise en compte de ces enjeux dans l’emploi du temps des professionnels impliqués. Or, cela est bien connu : « le temps, c’est de l’argent » !

Force est donc de reconnaître que l’instauration de ces mesures nécessite que l’entité verse pour ce faire un peu de sa poche...

Plutôt que de dresser des comptes d’apothicaires afin de calculer l’impact de vos démarches de conformité sur votre budget, nous attirons votre attention sur le fait que le RGPD permet une certaine flexibilité. Vos efforts doivent être adaptés à la réalité des missions menées par votre organisme.

Le degré d’exigence de ce règlement diffère selon l’importance des menaces que représente votre activité pour la protection des données personnelles.

Les mesures à instaurer ne seront ainsi pas les mêmes d’un organisme à l’autre selon le volume de données personnelles qu’il traite quotidiennement, le caractère sensible ou non de ces informations, ou encore le nombre de personnes manipulant ces renseignements.

Il n’y a donc pas forcément besoin de sortir les grands moyens ! Des mesures allégées peuvent, selon les cas, parfaitement suffire à honorer ces obligations légales.

Le coût de votre conformité s’avère donc un coût maitrisé, et potentiellement limité.

Reste à savoir si ces frais sont pour autant de l’argent jeté par les fenêtres. Rien n’est moins sûr…

Plutôt que de prendre pour argent comptant la prétendue onérosité de votre conformité, examinons pourquoi ces sommes constituent en réalité un investissement et non une perte sèche pour vos finances.

Oui, oui, vous avez bien lu : il s’agit bien d’un INVESTISSEMENT !

① Les économies réalisées grâce à votre conformité

Contrairement aux croyances populaires, l’application des dispositions du RGPD a pour effet, en pratique, d’optimiser le fonctionnement de vos opérations de traitement de données. Elle participe ainsi aux démarches d’amélioration continue de votre organisme[1].

En ce sens, votre conformité est incontestablement un gage d’efficacité et de compétitivité. Nul doute que vous en aurez pour votre argent !

Elle constitue aussi un atout commercial, dès lors qu’elle favorise la confiance de vos interlocuteurs dans votre capacité à assurer la sécurité des informations personnelles qu’ils vous confient.

D’autant que ce critère figure désormais parmi ceux exigés par les collectivités publiques dans le cadre de leurs appels d’offre. La conclusion de tels contrats dépend donc entre autres de votre conformité.

② Les pertes évitées grâce à votre conformité

Loin d’épargner votre trésorerie, les manquements à la législation en vigueur en la matière peuvent, à l’inverse, compromettre gravement la situation financière de votre organisme…

Intérêt n°1 : Prévenir les risques de piratage et autres attaques informatiques, qui pourraient vous dépouiller d’informations précieuses

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions dans des systèmes d’information a augmenté de 37% entre 2020 et 2021, et équivaut à 3 cyberattaques par jour.

Les TPE (“Très Petites Entreprises”), PME (“Petites et Moyennes Entreprises”) et ETI (“Entreprises de Taille Intermédiaire”) représenteraient 34% des victimes de cette cybercriminalité en 2021[2 ]

La législation en vigueur sur la protection des données se révèle être une opportunité de sécuriser la valeur de votre patrimoine informationnel (liste de clients, stratégies économique et commerciale de la structure, études de marché, etc.). Elle vous invite indirectement à prendre les précautions qui s’imposent pour éviter que ces éléments ne soient exploités à votre détriment par des tiers malveillants.

Intérêt n°2 : Se prémunir des risques de condamnations administratives et pénales, et d’une certaine banqueroute

Parmi ses multiples missions, la Commission Nationale de l’Informatique et des Libertés[3] (CNIL) veille notamment au respect des règles applicables en matière de protection des données. Elle a le pouvoir de sanctionner les violations qu’elle constate, notamment en prononçant des amendes administratives.

Le montant de ces amendes peut s’avérer particulièrement salé, puisqu’il est susceptible de s’élever – selon les manquements relevés – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant retenu.

Lorsque ces violations constituent une infraction, les entités non-conforment encourent également des poursuites pénales. Ces dernières peuvent aboutir au prononcé d’une peine d’emprisonnement de 5 ans et d’une amende allant jusqu’à 300.000 euros pour les personnes physiques, et à 1,5 millions d’euros pour les personnes morales[4].[5]

La CNIL ne cesse de mener une politique répressive de plus en plus rigoureuse. Elle a déclaré avoir procédé en 2021 à 384 contrôles. Le montant cumulé des amendes prononcées cette même année a atteint plus de 214 millions d’euros⁵.

Votre conformité peut donc vous épargner de faire valser des millions dans le vide…

Intérêt n°3 : Empêcher la dévalorisation de votre image de marque et votre discrédit

Les échos de la non-conformité d’un organisme sont susceptibles de porter considérablement atteinte à sa réputation. Ils peuvent amenuir son attractivité aux yeux de ses partenaires commerciaux, de ses fournisseurs, et surtout de ses clients.

Les exigences de ces derniers concernant les mesures prises pour assurer la protection de leurs données personnelles se sont accrues au cours des dernières années. En cas de lacunes de votre structure sur ce point, vos clients risquent ainsi de vous tourner le dos au bénéfice de concurrents plus vigilants…

Votre non-conformité peut également diminuer considérablement la valorisation de votre société lors de sa cession ou de sa fusion avec une autre entité. Vous savez ce qu’il vous reste à faire pour rouler sur l’or !

***

Mettre à mal votre conformité par soucis d’économie vous expose donc paradoxalement à de lourds risques financiers. Comme le résume l’adage, l’on ne peut pas avoir le beurre et l’argent du beurre !

Votre conformité vaut donc son pesant d’or !

Refuser d’engager des dépenses pour assurer la protection des données personnelles que votre organisme manipule pourrait se retourner contre vous. Ne tuez pas la poule aux œufs d’or !

L.H

[1] Pour plus d’informations concernant les bénéfices que votre organisme peut tirer de sa conformité, nous vous invitons à consulter notre précédent article sur le sujet à l’adresse suivante : https://www.rgpd-experts.com/rgpd-cest-pas-la-mer-a-boire/.

[1] Communiqué de presse de l’ANSSI du 09/03/2022, « Une année 2021 marquée par la professionnalisation des acteurs malveillants », https://www.ssi.gouv.fr/uploads/2022/03/cp_anssi_panorama_09032022.pdf.

[3] La CNIL est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] Conformément aux articles 226-16 et suivants, et 131-38 du Code pénal.

[5] Extrait de la conférence de presse de la Commission du 11 mai 2022 relative à la « présentation du rapport d’activité 2021 et des enjeux 2022 de la CNIL », https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2021_et_enjeux_2022_vf.pdf.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Sanction Total Énergies

dans Actualités, News, Thématiques

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

Après deux ans d’enquête, la CNIL [1] a condamné la société TOTAL ÉNERGIES ÉLECTRICITÉ ET GAZ France au paiement d’une amende d’un million d’euros. Sa décision du 23 juin 2022 sanctionne deux principaux manquements du fournisseur d’énergie à la législation en vigueur en matière de protection des données à caractère personnel[2].

RGPD-Experts vous tient au courant des règles pourtant fondamentales mises en cause dans cette affaire.

① Violation des règles relatives à la prospection

Saisie de 27 plaintes de particuliers, la Commission a pris la température de la conformité de TOTAL ÉNERGIES.

Elle a tout d’abord constaté les pratiques inadaptées de la société dans le cadre de ses campagnes de relance de prospects.

TOTAL ÉNERGIES a effectivement recontacté de nombreux clients potentiels par courrier ou par téléphone grâce aux informations personnelles que ceux-ci lui avaient fournies en ligne pour obtenir des devis, ce sans avoir préalablement recueilli leur consentement à recevoir des offres commerciales comme l’exige l’article L. 34-5 du Code des postes et des communications électroniques[3].

Or, ces prospects avaient accepté de renseigner leurs coordonnées sur le site Internet de l’entreprise pour une finalité précise, à savoir la souscription d’un possible contrat. Le fait d’utiliser ces informations pour leur vanter par la suite les avantages ou promotions proposées par TOTAL ENERGIES constitue une seconde finalité à l’exploitation de leurs données, pour laquelle ces internautes n’avaient pas donné leur accord.

Le formulaire de collecte de données en question mentionnait uniquement que :

« En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Énergie pour vous présenter ultérieurement ses offres »

L’usage de phrases génériques de ce type est à proscrire. Dans ces conditions, les intéressés n’étaient en effet pas en mesure de donner expressément leur consentement à ce que leurs coordonnées soient utilisées à des fins de prospection, alors même que les textes imposent que leur accord résulte d’un acte positif clair.

La CNIL a également conclu à un manque d’information ou une information incomplète des prospects démarchés par téléphone.

Lors de ces appels, les collaborateurs de TOTAL ÉNERGIES ne les renseignaient pas sur les principales caractéristiques du traitement de leurs données personnelles ainsi que sur leurs droits en la matière, en violation des articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD).

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

– Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

– Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

– Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

– Instaurer un mécanisme permettant aux personnes concernées d’obtenir l’ensemble des informations requises par les articles 13 et 14 du RGPD. Vous pouvez par exemple les inviter à appuyer sur une touche de leur clavier de téléphone les renvoyant vers une personne compétente ou activant la lecture d’un message préenregistré.

② Violation des règles relatives au respect des droits des personnes concernées

Les dispositions issues du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée reconnaissent divers droits aux personnes concernées par le traitement de leurs données, afin qu’elles puissent en conserver la maitrise.

Comment briller sur ce point ?

L’étendue de ces prérogatives dépend de la nature du traitement de données en question. Elles se traduisent notamment, et selon les cas, dans le droit :

D’accéder à ses données et/ou d’en obtenir une copie ;
De les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
De les effacer ;
De limiter le traitement de ses données ;
Du droit à la portabilité de ses données ;
De s’opposer au traitement de ses données personnelles ;
De formuler des directives sur le sort de ses données après son décès auprès d’un tiers de confiance ;
De retirer à tout moment son consentement au traitement de ses données, si telle est la base légale du traitement ;
D’introduire une réclamation auprès de la CNIL.

Or, il y a justement eu de l’eau dans le gaz sur le sujet entre le fournisseur d’énergie et le gendarme français de la protection des données personnelles… La CNIL a en effet mis en évidence les lacunes de TOTAL ÉNERGIES dans la gestion des demandes d’exercice de droit formulées par ses clients et prospects.

L’autorité régulatrice révèle que la société n’a pas respecté les modalités de réponse imposées par les textes, voire s’est parfois purement abstenue de traiter ces requêtes, en particulier des demandes d’accès de clients à leurs données et leur opposition à être inscrits sur ses listes de prospection commerciale.

Lorsqu’un individu porte à la connaissance du responsable de traitement sa volonté d’exercer l’un de ses droits, ce dernier est tenu de lui indiquer les suites données à sa requête « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (article 12 RGPD)[4].

Ce délai de réponse peut être prolongé de deux mois, notamment en raison de la complexité ou du nombre de demandes adressées au responsable de traitement, et à condition d’informer le demandeur de ce report et de ses motifs.

Les investigations de l’autorité régulatrice ont ici permis de constater de multiples retards dans les réponses données aux clients et prospects ayant demandé à TOTAL ÉNERGIES d’exercer leurs droits.

La CNIL souligne le fait que la société ne pouvait pas se retrancher derrière le manque de coopération de ses partenaires commerciaux lui vendant les coordonnées de prospects pour justifier ces retards.

En effet, il lui appartient en tant que responsable de traitement de s’organiser pour pouvoir répondre aux demandes d’exercice de droit d’accès aux données dans les délais requis par la loi. Elle précise en outre que TOTAL ÉNERGIES pouvait aussi communiquer aux demandeurs les informations dont elle disposait les concernant au fur et à mesure que celles-ci lui étaient transmises, plutôt que de se taire mécaniquement.

TOTAL ÉNERGIES a également essayé de se défendre en argumentant que certains plaignants n’avaient pas contacté les services spécifiquement en charge de ces questions. La CNIL a estimé que cette circonstance n’exonérait pas la société de sa responsabilité, dès lors qu’elle avait pour obligation de répondre à toutes les requêtes qui lui sont envoyées, même par un autre canal que celui prévu à cet effet.

En l’occurrence, l’objet de ces demandes était clair. Il revenait donc à TOTAL ÉNERGIES de veiller en interne à ce qu’elles soient transférées au personnel compétent.

TOTAL ÉNERGIES a aussi pu juger à tort qu’il n’était pas utile de dépenser de l’énergie pour prévenir certains demandeurs de la régularisation de leur situation. Ces derniers sont alors restés illégitimement dans le noir en ce qui concerne les suites apportées à leurs sollicitations…

Pas besoin d’être une lumière pour comprendre l’importance de rédiger des procédures pour gérer efficacement le traitement des demandes d’exercice de droits des personnes concernées.

Des protocoles de vérification de la recevabilité de ces requêtes à la rédaction de réponses types, en passant par une analyse approfondie de l’applicabilité de ces droits à vos opérations de traitement, RGPD-Experts met à votre disposition son expertise pour vous éviter d’être confrontés à des situations électriques…

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] L’intégralité de la délibération de la CNIL est disponible à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045975295?init=true&page=1&query=San-2022-011&searchField=ALL&tab_selection=all

[3] Pour davantage d’informations concernant la gestion des données personnelles lors de vos campagnes de prospection, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[4] Cette règle vaut aussi en cas d’inaction du responsable de traitement, l’organisme devant alors justifier des raisons de son refus ainsi que de la possibilité pour le demandeur de saisir une autorité de contrôle de sa réclamation et de contester cette décision en justice.

L.H

EHDS

dans Actualités, Thématiques

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

L’envolée des législations européennes relatives à la « protection » des données personnelles se poursuit.

Dans le prolongement des accords provisoires pour l’encadrement des services et des marchés numériques, la Commission Européenne a publié le 03 mai 2022 sa proposition de règlement pour un Espace Européen des Données de Santé, plus connu sous le nom de “European Health Data Space” (EHDS).

En quoi consiste ce nouveau projet ? RGPD-Experts vous explique les enjeux de ce texte.

De quoi parlons-nous ?

Soulignant l’importance des services numériques dans la gestion de la pandémie de Covid-19, les États membres de l’Union Européenne (UE) se sont emparés de ce contexte pourtant exceptionnel pour insister sur la nécessité d’harmoniser leurs règles nationales sur l’accès et l’utilisation des données de santé.

L’Espace Européen des Données de Santé vise globalement à instaurer un marché unique de données de santé à l’échelle européenne.

Les finalités affichées de cette réforme sont doubles :

① Faciliter l’utilisation primaire des données de santé des citoyens européens :

La proposition de règlement prévoit que les documents médicaux devront être émis sous une forme standardisée, afin de permettre leur partage dans et entre tous les États membres.

Selon la Commission, l’EHDS constitue en ce sens un avantage à la fois pour les patients et les professionnels de santé, en leur garantissant un accès et une maitrise de ces informations sensibles par-delà les frontières. D’après l’institution, cette interopérabilité sera gage d’une meilleure continuité des soins et d’une prise en charge optimale des malades.

Elle vise notamment à renverser les barrières linguistiques susceptibles d’entraver l’accès aux soins des patients ou la compréhension de leur dossier médical par les professionnels de santé. Chacun d’eux pourra désormais consulter les documents médicaux dans sa langue maternelle.

Exemple : un individu pourra ainsi aisément faire renouveler en Italie son ordonnance de médicaments délivrée en France, et se procurer son traitement en Allemagne.

Les données de santé des citoyens seront consignées au sein d’un programme que les États membres sont tenus d’intégrer d’ici 2025, intitulé « MyHealth@EU ».

Si la France a déjà partiellement déployé cette solution via le service « Sesali.fr »[1], d’autres États sont encore loin de cette révolution digitale. En effet, près d’un tiers des pays de l’UE recourent encore majoritairement à des dossiers médicaux et à des prescriptions papiers[2]…

② Faciliter l’utilisation secondaire des données de santé des citoyens européens :

La proposition de règlement établit également un cadre commun pour l’usage des données de santé à des fins de recherche, d’innovation, de statistiques ou d’élaboration de politiques de santé publique.

L’idée est simple : faire bénéficier les chercheurs, les entreprises du secteur de la santé et les décideurs d’une quantité importante de données pour augmenter la fiabilité de leurs projets respectifs.

L’ensemble de ces informations – censées avoir été préalablement anonymisées – seront rassemblées au sein d’une nouvelle infrastructure transfrontière développée à cet effet par l’Union Européenne, dénommée « HealthData@EU ».

Afin de contrôler l’exploitation de ces données mutualisées, chaque Etat membre devra mettre en place un organisme chargé de délivrer les autorisations d’accès aux entités et particuliers en faisant la demande.

La France s’est montrée particulière proactive face à cette réforme, puisqu’elle a créé une telle instance dès 2019. Ce Groupement d’Intérêt Public, composé de 56 parties prenantes relevant du domaine de la santé[3], porte le nom de « Health Data Hub » ou « Plateforme des données de santé »[4].

Les objectifs de l’Espace Européen des Données de Santé selon la Commission Européenne
Source : https://ec.europa.eu/commission/presscorner/detail/fr/fs_22_2713

Et en réalité ?

Si l’Union Européenne se targue d’instaurer ces nouveaux dispositifs en vue d’améliorer les diagnostics médicaux et les systèmes de santé, les enjeux de ce texte s’avèrent aussi et surtout économiques.

L’Espace Européen des Données de Santé entend inciter à l’innovation, en permettant aux entreprises du secteur de la santé de disposer d’un large échantillon de données de santé. Il a ainsi pour objectif de soutenir la croissance, en leur ouvrant de nouveaux marchés dans d’autres États membres.

La Commission ne cache également pas sa volonté de réduire le coût de ses politiques de santé publique.

Selon elle, l’EHDS devrait faire économiser à l’UE près de 11 milliards d’euros, tant grâce à l’optimisation attendue des activités des prestataires de soins (l’échange de données de santé entre professionnels devant éviter la répétition des examens médicaux et renforcer la fiabilité des diagnostics/traitements) que grâce à la documentation accrue des régulateurs (qui, disposant de données davantage probantes, sont supposés être plus à même d’ajuster leur gestion du système de santé et de stopper les dépenses inutiles).

Cet argument est paradoxal lorsque l’on sait que les États membres ont prévu d’investir 12 milliards d’euros dans la santé numérique… L’UE ne poursuivrait-elle pas des rêves chimériques ?

Des mesures si compréhensibles ?

Des questions perdurent quant aux modalités concrètes de mise en œuvre de l’Espace Européen des Données de Santé.

Les dispositions du règlement proposé par la Commission ne prévoient pas leur articulation avec les règles nationales des États membres en la matière, voire entrent ouvertement en contradiction avec elles.

Nous nous interrogeons sur la combinaison entre l’infrastructure européenne sur le partage de données de santé « MyHealth@EU », et le récent Dossier Médical Partagé instauré par le gouvernement français[5].

Par ailleurs, il n’est dit aucun mot sur les caractéristiques du format européen commun dans lequel devront être édictés les documents de santé afin d’être interopérables.

Enfin, les promesses de sécurité concernant l’exploitation des données de santé des citoyens européens sont particulièrement floues. Les formulations vagues employées par la Commission ne permettent pas de déterminer comment cette protection sera concrètement assurée…

Il est ainsi indiqué que ces données sensibles ne seront accessibles à des fins de recherche et d’innovation que pour des « finalités particulières » et non pour prendre des décisions préjudiciables aux citoyens, sous réserve d’être manipulées dans « des environnements fermés et sécurisés » et à condition que les identités des individus visés ne soient pas révélées.

Ces termes ne sont évidemment pas définis, de sorte qu’il est impossible de savoir comment l’anonymat des personnes concernées sera réalisé, ou à quels critères devront répondre les organismes souhaitant accéder à ces données pour justifier qu’ils disposent d’un environnement suffisamment “fermé et sécurisé“.

En d’autres termes, l’Espace Européen des Données de Santé pourrait compromettre la conformité des différents acteurs de cette santé numérique, qui restent tenus de respecter les exigences leur incombant aux termes du Règlement Général sur la Protection des Données (RGPD) [6].

Les organismes pourront-ils en pratique respecter et le RGPD, et la législation sur l’Espace Européen des Données de Santé ? Seul l’avenir nous le dira…

Avant d’entrer en vigueur, le projet de règlement de la Commission Européenne devra d’abord être examiné par le Conseil et le Parlement Européen.

S’il est adopté, ce texte modifiera légèrement l’organisation des institutions européennes, puisqu’il prévoit une nouvelle gouvernance spécifique à la santé numérique. La création d’un « Comité de l’Espace Européen des Données de Santé » est envisagé. Composé des représentants des nouvelles autorités chargées de délivrer les autorisations d’accès aux bases de données de santé des Etats membres, de la Commission Européenne et d’observateurs divers, ce comité a pour ambition de veiller à une application cohérente des règles en matière de santé numérique sur le territoire de l’UE.

Un rôle non négligeable compte tenu des risques que cette réforme soit comprise différemment par tous, faisant des citoyens européens les grands perdants de ce probable quiproquo…

L.H

[1] Bien que déjà accessible, ce nouveau service de santé proposé par l’Agence du Numérique en Santé (ANS) n’est à ce jour pas encore finalisé. Seuls les citoyens de certains pays membres de l’UE y sont pour l’instant éligibles (Croatie, Malte, Portugal…).

[2] Source : « Questions et réponses – Santé dans l’UE : l’espace européen des données de santé », 03 mai 2022, eu.europa.eu (https://ec.europa.eu/commission/presscorner/detail/fr/qanda_22_2712)

[3] Dont la caisse nationale de l’assurance maladie (CNAM), la fédération française de l’assurance (FFA), l’institut national de la santé et de la recherche médicale (INSERM), l’institut national de la recherche en informatique et en automatique (INRIA), le centre national de la recherche scientifique (CNRS), la fédération hospitalière de France (FHF), l’assistance publique hôpitaux de Paris (AP-HP), etc.

Les modalités de fonctionnement de la plateforme sont régies par les articles L1462-1 et R1462 et suivants du Code de la santé publique.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est l’autorité administrative indépendante française compétente en matière de protection des données personnelles, a toutefois émis de nombreuses réserves concernant les modalités de mise en œuvre de cette « Plateforme des Données de Santé » et sur les risques qu’elle présente en l’état actuel pour les libertés individuelles.

[5] Pour plus d’informations concernant les enjeux de ce « Dossier Médical Partagé » en matière de protection des données personnelles, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/donnees-medicales/

[6] En effet, les mesures prévues au sein de la proposition de règlement de la Commission ne dérogent pas au RGPD.

Des mairies à la traine…

dans Actualités, News, Thématiques

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.

En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.

Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

① Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des “analyses d’impact relatives à la vie privée“ et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

De 2 ans d’expérience dans le domaine de la protection des données
Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

③ Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO

Le Délégué à la Protection des Données peut-être :

Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.

Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).

	AVANTAGES PRINCIPAUX	AVANTAGES PRINCIPAUX
DPO Interne	– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO	– Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe	– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité.	– Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé	– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes.	– Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

Licenciement maladroit ou à bon droit d’un Délégué à la Protection des Données ?

Le Conseil d’État précise la notion d’indépendance du DPO [1]

Zoom sur la jurisprudence communautaire

Zoom sur la jurisprudence nationale

* * *

A quand une harmonisation du statut du Délégué à la Protection des Données entre les pays européens ?

La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.

Détermination des durées de conservation

A) La conservation en base active

B) L’archivage intermédiaire

D) L’archivage définitif

« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »

Application de la durée de conservation

Rentrée 2022 des associations et centres de loisirs :

Jouez-le jeu de la conformité !

① Identifier les flux de données ainsi que les opérations de traitement indispensables au fonctionnement du centre de loisir

② Instaurer une organisation interne garantissant la conformité du centre de loisir

Accompagner les entreprises soumises aux évolutions réglementaires

Garantir la conformité RGPD

L’HÔPITAL DE CORBEIL-ESSONNES : ÉNIÈME VICTIME DES CYBERATTAQUES MENÉES CONTRE LES ÉTABLISSEMENTS DE SANTÉ

DES PIRATES INFORMATIQUES SANS FOI NI LOI

Mais pourquoi saborder les systèmes informatiques des hôpitaux ?

Comment ces pirates vont à l’abordage de vos infrastructures numériques ? – Zoom sur les rançongiciels

QUEL AVENIR NUMÉRIQUE POUR LES ÉTABLISSEMENTS DE SANTÉ ?

DES PIRATAGES DE LOURDES CONSÉQUENCES, MORBLEU !

« Mieux vaut prévenir que guérir »

L’importance de définir à l’avance un plan de continuité d’activité et un plan de reprise d’activité

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

Le feu vert du Comité Européen de la Protection des Données (CEPD)

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

① Les économies réalisées grâce à votre conformité

② Les pertes évitées grâce à votre conformité

***

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

① Violation des règles relatives à la prospection

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

– Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

– Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

– Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

② Violation des règles relatives au respect des droits des personnes concernées

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

Êtes-vous vous-même conforme ?

En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

① Un DPO, oui mais pour quoi faire ? – Les missions du DPO

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme. L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

Des Experts à votre service

RGPD Experts

Contacts et Liens Utiles

L’HÔPITAL DE CORBEIL-ESSONNES : ÉNIÈME VICTIME DES CYBERATTAQUES
MENÉES CONTRE LES ÉTABLISSEMENTS DE SANTÉ

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.