Accompagner les entreprises soumises aux évolutions réglementaires

 

Le Règlement général sur la Protection des données, entré en application le 25 mai 2018, a pour objectifs de protéger les libertés et droits fondamentaux des personnes physiques tout en garantissant la libre circulation des données à caractère personnel au sein de l’Union européenne et des pays adéquats. À l’heure actuelle, la protection des données est un enjeu majeur pour les entreprises souhaitant traiter un maximum de données le plus qualitativement possible tout en respectant leurs clients, leurs collaborateurs et les nouvelles réglementations induites par les autorités de contrôle.

Face à cet enjeu, les deux sociétés ont mis en commun leurs connaissances et leurs compétences autour d’un partenariat ayant donné naissance au logiciel Register +. D’une part, la société suisse Rumya est spécialisée dans le développement d’outils digitaux de mise en conformité depuis 2018. D’autre part, la société française RGPD-Experts, spécialisée dans la protection des données depuis 2005, accompagne l’intégration de la réglementation dans les entreprises.

Garantir la conformité RGPD

Conçu par des praticiens confirmés de la protection des données et de la sécurité informatique, Register + est un logiciel offrant une réponse concrète aux entreprises. Facile à mettre en œuvre, il propose une approche très pragmatique et assiste efficacement les professionnels au quotidien. La solution permet de respecter l’intégralité des besoins en termes de registres et de suivi de la conformité. Elle donne également la possibilité de démontrer que l’entreprise a répondu adéquatement aux exigences du RGPD en matière de respect des droits des personnes, de gestion des violations de données et de gestion des consentements.

Grâce à ces fonctionnalités, les entreprises peuvent prouver leur conformité tout en apportant une vraie valeur ajoutée, en termes de maitrise de leur patrimoine de données et d’optimisation de leurs processus.

La sécurité informatique, et par conséquent la confiance numérique, n’a jamais été aussi sensible, tant pour le législateur que pour les utilisateurs de ces services digitaux.

Découvrez l’inégalité de l’interview ici

L’HÔPITAL DE CORBEIL-ESSONNES : ÉNIÈME VICTIME DES CYBERATTAQUES
MENÉES CONTRE LES ÉTABLISSEMENTS DE SANTÉ

 

Après le CHU de Rouen, les hôpitaux de Dax, de Saint-Gaudens, d’Angers ou encore de l’Assistance Publique – Hôpitaux de Paris (AP-HP), le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes vient à son tour d’être la cible d’une attaque informatique.

 

Des hackers ont pris le contrôle de son réseau informatique dans la nuit du 20 au 21 août 2022. Les auteurs de cette intrusion, encore inconnus, réclament le paiement de 10 millions de dollars en échange du rétablissement des systèmes touchés.

 

DES PIRATES INFORMATIQUES SANS FOI NI LOI

Selon l’Agence Nationale de la Sécurité des Systèmes d’Information[1] (ANSSI), 27 hôpitaux ont subi une cyberattaque durant l’année 2020. En 2021, il lui a été rapporté un incident de sécurité par semaine par des organismes relevant du domaine de la santé[2].

Mais pourquoi saborder les systèmes informatiques des hôpitaux ?

Ces pirates modernes sont à la recherche d’un butin d’un nouveau genre : vos données de santé. Ces informations sensibles vous concernant peuvent en effet être revendues à prix d’or sur le « Dark Web », ces réseaux secrets d’Internet où les internautes s’adonnent à de nombreuses activités illégales.

Les hackers réclament également souvent une rançon, en promettant en contrepartie de restaurer l’infrastructure numérique de l’entité ciblée. Cumulées, ces ventes et ces rançons font de ces cyberattaques une affaire particulièrement lucrative, qui en détermine plus d’un à partir à l’assaut de ces trésors dématérialisés.

Comment ces pirates vont à l’abordage de vos infrastructures numériques ? – Zoom sur les rançongiciels

Un rançongiciel, plus connu sous sa dénomination anglaise de « ransomware », est un programme introduit illicitement dans les systèmes informatiques d’une victime pour les rendre hors service.

Les hackers proposent ensuite, à ces utilisateurs démunis, de leur fournir le moyen de ré-accéder à leurs réseaux, notamment en leur communiquant les méthodes cryptographiques utilisées pour chiffrer leurs données, à condition toutefois de leur verser la somme d’argent qu’ils exigent.

Comme son nom l’indique, le rançongiciel est donc une infraction à double égard : il s’agit d’une intrusion frauduleuse dans un système informatique et d’une extorsion (ou tentative d’extorsion si la rançon n’est pas payée), le tout éventuellement commis en bande organisée[3].

Nous vous déconseillons vivement de vous acquitter de la rançon réclamée !

En effet, faire droit à cet odieux chantage ne vous garantit non seulement pas de récupérer vos données, ni encore moins de les retrouver intègres[4], mais il entretient ces pratiques interdites. Donner à ces cybercriminels les fonds qu’ils revendiquent les incite à poursuivre leurs actions néfastes.

Céder à ces demandes ne règle donc en rien les problèmes que vous rencontrez en matière de protection des données personnelles et en termes de continuité d’activité. N’oubliez pas que ces hackers sont bien des pirates : ils ne vous feront pas de quartier !

QUEL AVENIR NUMÉRIQUE POUR LES ÉTABLISSEMENTS DE SANTÉ ?

 

La protection des données personnelles essuie, elle aussi, les conséquences du manque de moyens des hôpitaux publics. Outre l’impossibilité de remplacer du matériel informatique souvent vétuste, les budgets limités des établissements de santé ne leur permettent pas de former leurs personnels sur les bons réflexes à adopter pour protéger les informations sensibles qu’ils manipulent.

Quant à recruter des spécialistes en cybersécurité, l’option excède les capacités financières d’une administration peinant déjà à rémunérer ses propres soignants…

Ironie de l’histoire, l’attaque visant le CHSF est intervenue alors même que l’hôpital terminait son propre diagnostic de sécurité avec l’ANSSI dans le cadre de la « Stratégie Cyber » lancée par le Président de la République. Ce programme initié en février 2021 avait spécifiquement alloué un budget de 25 millions d’euros aux établissements de santé[5].

Le Ségur de la Santé a également prévu de dédier près de 350 millions d’euros au renforcement de la sécurité numérique de ces établissements5. Des fonds vraisemblablement plus que bienvenus…

« Capture d’écran du compte Twitter de Jean-Noël Barrot, le 26 août 2022 »

DES PIRATAGES DE LOURDES CONSÉQUENCES, MORBLEU !

Comme l’indique le CHSF dans un communiqué, celui-ci n’a pas eu d’autres choix que de déclencher son plan blanc[6]. Malgré sa couleur, ce pavillon n’a pas été hissé en signe de paix contre ses assaillants, mais bien en signe d’urgence.

L’ensemble de l’infrastructure numérique de l’hôpital de Corbeil-Essonnes a en effet été affecté. Les logiciels métiers, les systèmes de stockage, d’imagerie médicale et les dispositifs destinés à traiter l’admission des patients ont tous été placés hors d’état de fonctionner.

La flotte des 3.700 professionnels de santé de l’hôpital est dès lors contrainte de travailler depuis plusieurs semaines en mode « dégradé ». Le retour à une logistique faite de papier et de crayon s’impose.

Ce fonctionnement dégradé est nécessairement synonyme de prise en charge  dégradée pour les malades. Malgré les efforts du centre hospitalier, les patients, dont les soins nécessitent l’utilisation des dispositifs techniques touchés, sont redirigés vers d’autres hôpitaux de la région d’Ile-de-France. Seules les personnes dont l’état ne suppose pas d’examens approfondis sont acceptées dans les consultations d’urgence. Certaines opérations prévues dans les semaines à venir ont dû être déprogrammées.

Ce véritable branle-bas de combat a nécessairement eu un impact sur l’activité même de l’hôpital de Corbeil-Essonnes. Dans une information à destination des usagers, l’organisme précise que son flux des urgences a diminué de plus de la moitié, le service ne prenant plus en charge que 90 patients par jour au lieu des 230 accueillis habituellement au quotidien[7].

Comme toujours après de telles cyberattaques, le retour à la normale sera long…

« Mieux vaut prévenir que guérir »

L’importance de définir à l’avance un plan de continuité d’activité et un plan de reprise d’activité

 

Les cyberattaques peuvent avoir de graves répercussions sur la poursuite régulière de l’activité d’un organisme, voire même sur sa survie. Qu’elles soient publiques ou privées, qu’elles relèvent du domaine de la santé ou non, toutes les entités sont concernées.

Au-delà de la perte des données, les risques encourus par la victime sont considérables : chiffre d’affaires en chute libre durant l’arrêt temporaire ou le ralentissement de l’activité (qui peut durer plusieurs mois), possibles poursuites judiciaires ou administratives en raison des manquements de l’organisme victime à la législation en vigueur sur la protection des données personnelles, atteinte à la réputation de l’entité, perte de confiance des clients et des partenaires commerciaux, etc.

Afin d’éviter de subir de tels préjudices, il est recommandé de déterminer en amont un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA). Ces documents visent à définir la stratégie à mettre en place pour surmonter ces incidents. Ils ont pour but d’identifier et d’organiser l’ensemble des moyens et procédures à suivre pour limiter autant que possible les effets de ces cas de force majeure.

Il s’agit notamment :

D’anticiper d’éventuelles cyberattaques

Plusieurs solutions permettent de minimiser l’impact d’un rançongiciel. Votre plan peut mettre en avant ces bonnes habitudes, telles que :

  • sauvegarder régulièrement vos données pour remédier à leur destruction / compromission par des personnes malveillantes ;
  • mettre à jour vos logiciels afin d’éviter l’exploitation des failles et vulnérabilités pouvant s’y trouver, et qui constituent autant de points d’entrées dans vos systèmes informatiques ;
  • actualiser et mettre à jour vos anti-virus ;
  • cloisonner vos systèmes d’information pour cantonner la propagation d’un logiciel nuisible d’une machine à l’autre ;
  • sensibiliser vos collaborateurs sur les comportements à éviter (ouvrir des mails suspects par exemple), etc.

 

De réagir face à d’éventuelles cyberattaques

Définir préalablement les étapes à suivre en cas de piratage vous permettra d’y mettre rapidement fin si celui-ci se produit.Il peut notamment être question de préciser :

  • la nécessité de déconnecter et d’isoler les machines infectées ;
  • où et comment trouver l’assistance requise ;
  • comment communiquer sur cette cyberattaque au juste niveau (tant en interne qu’externe) ;
  • comment prioriser les activités à maintenir et leur mode de fonctionnement « dégradé » ;
  • comment accomplir les formalités administratives consécutives à cette intrusion (plainte, assurance, échanges avec la CNIL[8]…), etc.

 

Au-delà de leur qualité de victime, les organismes subissant une cyberattaque sont souvent elles-mêmes coupables : coupables d’un manquement à leur obligation de protéger les données personnelles qui leur avaient été confiées. Or, même sans divulgation de ces informations à des tiers, leur indisponibilité temporaire constitue une violation de données imposant à l’organisme, éventuellement et selon les cas, de notifier l’incident à la CNIL et / ou aux personnes concernées.

Afin d’éviter de naviguer en eaux troubles à cause de ces pirates du Web, et de voir vos activités tanguer sous leur emprise, il est donc essentiel d’établir ces plans. La maîtrise de ces thématiques ne s’improvise toutefois pas. Nous vous conseillons de vous faire accompagner dans vos démarches par des professionnels justifiant d’une expertise et d’une connaissance pratique du sujet.

L.H

 

[1] L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle est chargée de promouvoir les technologies en matière de cybersécurité, et de contribuer ainsi au développement de la confiance du public dans le numérique. Elle accompagne et contrôle notamment sur ce sujet les opérateurs d’importance vitale, à savoir les organismes relevant de secteurs indispensables à la survie de la Nation (énergie, transport, santé, pouvoirs régaliens, etc.).

[2] ANSSI, Portrait de la relance, « Centre hospitalier universitaire de Reims », https://www.ssi.gouv.fr/agence/cybersecurite/france-relance/portraits-de-la-relance/centre-hospitalier-universitaire-de-reims/

[3] Ces infractions sont prévues et punies par les articles 323-1 et suivants (s’agissant de l’intrusion frauduleuse dans un système informatique) et 312-1 du Code pénal (s’agissant de l’extorsion).

[4] Les cybercriminels peuvent avoir corrompu vos fichiers avant de vous les restituer, afin de les affecter de failles leur permettant de vous pirater de plus belle par la suite. Ils peuvent aussi avoir effectué une copie de vos bases de données, et continuer ainsi de porter atteinte à la confidentialité et à l’intégrité de ces informations.

[5] « La stratégie nationale de cybersécurité des établissements de santé », article publié le 22 février 2021, https://www.gouvernement.fr/actualite/la-strategie-nationale-de-cybersecurite-des-etablissements-de-sante

[6] Communiqué de presse du CHSF, https://www.chsf.fr/declenchement-du-plan-blanc-dimanche-21-aout-2022/

[7] Information des usagers du CHSF, https://www.chsf.fr/informations-usagers/

[8] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment  Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

 

Comme bon nombre de français, vous avez peut-être été amenés à louer une voiture au cours de ces derniers mois, que ce soit pour vos déplacements professionnels ou à l’occasion de vos vacances. Mais, bien qu’utiles, ces services ne sont pas toujours exemplaires lorsqu’il s’agit de protéger les données à caractère personnel de leurs clients.

Les radars de la CNIL viennent de se diriger contre les pratiques de la société UBEEQO INTERNATIONAL. Ces filiales du groupe « EUROPCAR MOBILITY GROUP », présentes dans plusieurs pays européens, proposent une offre de location de véhicules partagés intégralement numérique.

 

UBEEQO INTERNATIONAL en a sous le capot pour garantir à ses clients la « flexibilité de service » qu’il vante tant. L’idée est simple : les voitures sont laissées en libre accès dans des zones dédiées. Les personnes intéressées s’inscrivent en ligne, en indiquant notamment leurs dates et le lieu où elles souhaitent récupérer le véhicule. A la fin de leur période de location, elles restituent leur bolide au même endroit, sans qu’aucun membre du personnel d’UBEEQO INTERNATIONAL ne soit jamais intervenu.

Mais derrière cette liberté et cette simplicité apparentes, se cache une tout autre réalité. Les traitements de données mis en œuvre par UBEEQO INTERNATIONAL pour gérer son activité ont récemment fait l’objet d’un contrôle, non pas routier, mais du gendarme français de la protection des données personnelles.

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

 

 

L’enquête menée par la CNIL[1] a révélé que les véhicules mis à disposition par UBEEQO INTERNATIONAL sont géolocalisés lorsque leur moteur s’allume ou s’éteint, à chaque fois que leurs portes sont ouvertes et fermées, et tous les 500 mètres lorsqu’ils se déplacent. La filiale est également capable d’activer à distance un dispositif permettant de situer ses voitures en temps réel.

Ces paramètres induisent mécaniquement une géolocalisation quasi-permanente des conducteurs.

L’AUTOrité régulatrice a conclu que la société avait principalement manqué à trois des exigences issues du Règlement Général sur le Protection des Donnés (RGPD). Elle qualifie ces dérapages comme étant :

 

Une violation du principe de minimisation des données

Conformément à l’article 5(1)(c) du RGPD, le responsable de traitement ne peut pas recueillir n’importe quels type et volume de données personnelles. Il ne peut collecter que les seules données adéquates et pertinentes lui permettant d’atteindre l’objectif qu’il poursuit.

UBEEQO INTERNATIONAL a tenté d’enjoliveur… pardon d’enjoliver…les finalités de sa collecte massive des données de géolocalisation de ses automobiles, en indiquant que celle-ci était indispensable pour :

  • La gestion de son activité (assurer la maintenance de ses véhicules, contrôler le passage d’une voiture dans et hors d’une zone de péage urbain, son éventuelle restitution dans un autre endroit…);
  • Retrouver les voitures louées en cas de vol ;
  • Porter assistance à ses clients, notamment en cas d’accident.

La CNIL a toutefois décidé qu’aucune de ces finalités ne justifie une collecte aussi fine et excessive des données de géolocalisation des conducteurs par UBEEQO INTERNATIONAL.

Elle estime que la société dispose de moyens moins attentatoires au droit au respect de la vie privée des chauffeurs pour parvenir à ses fins. Elle l’invite à trouver d’autres alternateurs…euh alternative pour maîtriser sa flotte de véhicules. Les positions géographiques des automobilistes peuvent par exemple être consignées uniquement au début et à la fin de la location plutôt que sur l’ensemble de leur période de location, ou seulement à compter d’un fait générateur (demande d’assistance ou suspicion de vol).

Le feu vert du Comité Européen de la Protection des Données (CEPD)

 

Dans ses lignes directrices du 4 octobre 2017, le « Groupe de travail de l’article 29 »[2] a qualifié les données de géolocalisation comme étant des « données à caractère hautement personnel ». Et pour cause, elles ont un impact sur une liberté fondamentale : la liberté de circulation[3].

Ces données sont également un point d’entrée dans l’intimité des personnes concernées. Elles permettent en effet de déduire leurs habitudes de vie en fonction de leurs déplacements : leur lieu de travail et donc leur activité professionnelle, leur domicile, voire leur religion, leur orientation sexuelle ou leur état de santé, selon les lieux qu’elles fréquentent.

 

Une violation du principe de limitation des durées de conservation des données

L’article 5(1)(e) du RGPD impose que les données personnelles ne soient conservées que pendant une durée limitée, « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles traitées ».

Il appartient au responsable de traitement de déterminer cette durée, selon ses besoins et les spécifiés de son activité. Il lui revient également de justifier sa décision en cas de contrôle.

En l’occurrence, UBEEQO INTERNATIONAL avait défini une politique de conservation des données fixant à trois ans la durée de conservation des données de géolocalisation des conducteurs.

La CNIL considère ce délai excessif, en ce qu’il commençait à courir non pas à compter de la fin du contrat de location, mais de la fin de la relation commerciale avec le client. Or, celle-ci peut intervenir bien après la prestation de service, puisque la date d’arrêt d’une relation commerciale correspond à celle de la dernière manifestation d’intérêt du client (suppression d’une réservation en cours sur l’application de la société, clic sur le lien d’une newsletter émise par l’entreprise, connexion à son compte individuel…).

L’autorité de contrôle n’a pas apprécié ce problème de compteur. Elle a jugé que cette période de trois ans dépassait les besoins de la société. Elle déclare qu’UBEEQO INTERNATIONAL pouvait décemment gérer à distance son parc automobile, porter assistance à ses clients et localiser ses voitures volées en enregistrant la position de ses véhicules durant un temps plus court.

Mais surtout, la CNIL a insisté sur le fait qu’il ne suffit pas de définir une politique de conservation des données pour être conforme. L’important est de la respecter. Or, en l’espèce, les investigations menées par la Commission ont révélé que les systèmes d’information d’UBEEQO INTERNATIONAL stockaient des historiques de géolocalisation d’utilisateurs pourtant inactifs depuis plus de huit ans. Preuve que la conformité de la société est un pneu…oups un peu moins aboutie dans les faits qu’elle ne veut bien le prétendre.

 

Une violation de l’obligation d’information des personnes concernées

Pour finir, il est reproché à UBEEQO INTERNATIONAL d’avoir manqué à son obligation d’information à l’égard de ses clients.

Ces derniers doivent être renseignés sur l’existence d’un traitement de leurs données personnelles et sur les principales caractéristiques de ce traitement[4]. L’article 12 du RGPD prévoit que cette information doit être fournie d’une façon « concise, transparente, compréhensible et aisément accessible ».

Dans cette affaire, au moment de remplir leur formulaire d’inscription, les utilisateurs de l’application et du site Internet d’UBEEQO INTERNATIONAL pouvaient uniquement cliquer sur un lien les renvoyant vers les conditions générales d’utilisation, qui contenaient elles-mêmes un autre lien permettant d’accéder à la politique de confidentialité de la société.

Ces pratiques ne sont pas AUTOrisées. Le fait que la politique de protection des données d’UBEEQO INTERNATIONAL ne soit pas clairement différenciée, à première vue, des autres documents contractuels de l’entreprise (les conditions générales d’utilisation) et qu’elle ne puisse être obtenue qu’après un parcours de plusieurs clics ne permet pas de la consulter facilement. Le critère d’accessibilité fait défaut.

UBEEQO INTERNATIONAL va devoir se serrer la ceinture. Pour répondre de toutes ces violations, la CNIL l’a condamné le 7 juillet 2022 à payer une amende administrative de 175.000 euros[5] ! Si la société de location de véhicules semble avoir négligé de s’interroger sur l’impact de la législation en vigueur en matière de protection des données sur sa propre activité, elle s’est ainsi pris un sacré retour de manivelle !

« Les nouveaux usages des données de géolocalisation » étaient l’un des thèmes prioritaires de contrôle de la CNIL en 2020. L’enquête menée spontanément par la Commission à l’encontre d’UBEEQO INTERNATIONAL prouve que les axes d’investigations qu’elle définit chaque année ne sont pas de simples déclarations de principe.

Les trois thématiques prioritaires de contrôle de la CNIL pour l’année 2022 sont :

  • – La prospection commerciale ;
  • – Les outils de surveillance mis en place dans le cadre du télétravail ;
  • – Les services de cloud.

Si votre organisme est concerné par l’une ou plusieurs de ces situations, nous vous conseillons de vous faire accompagner dans vos démarches de conformité par des professionnels. Ne risquez pas à votre tour un accrochage avec l’autorité de contrôle !

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 du 04 octobre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf.

[3] Le « Groupe de travail de l’article 29 », dit « G29 », a été remplacé par le Comité Européen sur la Protection des Données (CEPD) à l’occasion de l’entrée en vigueur du RGPD.

[4] Les mentions obligatoires devant figurer dans ces informations diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées. Elles sont prévues aux articles 13 et 14 du RGPD.

[5] La délibération SAN-2022-015 de la CNIL du 7 juillet 2022 est disponible dans son intégralité à l’adresse suivante : ici

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment  Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

 

A l’occasion de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, de multiples responsables d’organismes ont appréhendé cette législation comme une contrainte supplémentaire inhibant la gestion de leurs activités.

Six ans passés après l’adoption de ce texte, nombre d’entre eux continuent de percevoir les questions relatives à la protection des données personnelles uniquement comme un trou dans leur portefeuille et une source de dépenses inutiles. Mais est-ce vraiment le cas ?

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

La mise en conformité initiale d’une entité et le maintien de sa conformité l’exposent effectivement à s’acquitter de diverses charges.

Mettre en place et tenir à jour un registre des activités de traitement, réaliser des analyses d’impact sur la protection des données, créer des procédures internes, gérer efficacement les demandes d’exercice de droits des individus concernés, former et sensibiliser ses collaborateurs sur ces problématiques voire recruter des personnes compétentes… : respecter la législation applicable en matière de protection des données personnelles suppose la mobilisation de moyens humains et matériels non négligeables.

Cela implique généralement l’installation de dispositifs techniques appropriés, ainsi que l’aménagement de créneaux dédiés à la prise en compte de ces enjeux dans l’emploi du temps des professionnels impliqués. Or, cela est bien connu : « le temps, c’est de l’argent » !

Force est donc de reconnaître que l’instauration de ces mesures nécessite que l’entité verse pour ce faire un peu de sa poche...

Plutôt que de dresser des comptes d’apothicaires afin de calculer l’impact de vos démarches de conformité sur votre budget, nous attirons votre attention sur le fait que le RGPD permet une certaine flexibilité. Vos efforts doivent être adaptés à la réalité des missions menées par votre organisme.

Le degré d’exigence de ce règlement diffère selon l’importance des menaces que représente votre activité pour la protection des données personnelles.

Les mesures à instaurer ne seront ainsi pas les mêmes d’un organisme à l’autre selon le volume de données personnelles qu’il traite quotidiennement, le caractère sensible ou non de ces informations, ou encore le nombre de personnes manipulant ces renseignements.

Il n’y a donc pas forcément besoin de sortir les grands moyens ! Des mesures allégées peuvent, selon les cas, parfaitement suffire à honorer ces obligations légales.

Le coût de votre conformité s’avère donc un coût maitrisé, et potentiellement limité.

Reste à savoir si ces frais sont pour autant de l’argent jeté par les fenêtres. Rien n’est moins sûr…

Plutôt que de prendre pour argent comptant la prétendue onérosité de votre conformité, examinons pourquoi ces sommes constituent en réalité un investissement et non une perte sèche pour vos finances.

Oui, oui, vous avez bien lu : il s’agit bien d’un INVESTISSEMENT !

① Les économies réalisées grâce à votre conformité

 

Contrairement aux croyances populaires, l’application des dispositions du RGPD a pour effet, en pratique, d’optimiser le fonctionnement de vos opérations de traitement de données. Elle participe ainsi aux démarches d’amélioration continue de votre organisme[1].

En ce sens, votre conformité est incontestablement un gage d’efficacité et de compétitivité. Nul doute que vous en aurez pour votre argent !

Elle constitue aussi un atout commercial, dès lors qu’elle favorise la confiance de vos interlocuteurs dans votre capacité à assurer la sécurité des informations personnelles qu’ils vous confient.

D’autant que ce critère figure désormais parmi ceux exigés par les collectivités publiques dans le cadre de leurs appels d’offre. La conclusion de tels contrats dépend donc entre autres de votre conformité.

② Les pertes évitées grâce à votre conformité

Loin d’épargner votre trésorerie, les manquements à la législation en vigueur en la matière peuvent, à l’inverse, compromettre gravement la situation financière de votre organisme…

  • Intérêt n°1 : Prévenir les risques de piratage et autres attaques informatiques, qui pourraient vous dépouiller d’informations précieuses

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions dans des systèmes d’information a augmenté de 37% entre 2020 et 2021, et équivaut à 3 cyberattaques par jour.

Les TPE (“Très Petites Entreprises”), PME (“Petites et Moyennes Entreprises”) et ETI (“Entreprises de Taille Intermédiaire”) représenteraient 34% des victimes de cette cybercriminalité en 2021[2]

La législation en vigueur sur la protection des données se révèle être une opportunité de sécuriser la valeur de votre patrimoine informationnel (liste de clients, stratégies économique et commerciale de la structure, études de marché, etc.). Elle vous invite indirectement à prendre les précautions qui s’imposent pour éviter que ces éléments ne soient exploités à votre détriment par des tiers malveillants.

  • Intérêt n°2 : Se prémunir des risques de condamnations administratives et pénales, et d’une certaine banqueroute

Parmi ses multiples missions, la Commission Nationale de l’Informatique et des Libertés[3] (CNIL) veille notamment au respect des règles applicables en matière de protection des données. Elle a le pouvoir de sanctionner les violations qu’elle constate, notamment en prononçant des amendes administratives.

Le montant de ces amendes peut s’avérer particulièrement salé, puisqu’il est susceptible de s’élever – selon les manquements relevés – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant retenu.

Lorsque ces violations constituent une infraction, les entités non-conforment encourent également des poursuites pénales. Ces dernières peuvent aboutir au prononcé d’une peine d’emprisonnement de 5 ans et d’une amende allant jusqu’à 300.000 euros pour les personnes physiques, et à 1,5 millions d’euros pour les personnes morales[4].[5]

La CNIL ne cesse de mener une politique répressive de plus en plus rigoureuse. Elle a déclaré avoir procédé en 2021 à 384 contrôles. Le montant cumulé des amendes prononcées cette même année a atteint plus de 214 millions d’euros5.

Votre conformité peut donc vous épargner de faire valser des millions dans le vide…

  • Intérêt n°3 : Empêcher la dévalorisation de votre image de marque et votre discrédit

 

Les échos de la non-conformité d’un organisme sont susceptibles de porter considérablement atteinte à sa réputation. Ils peuvent amenuir son attractivité aux yeux de ses partenaires commerciaux, de ses fournisseurs, et surtout de ses clients.

Les exigences de ces derniers concernant les mesures prises pour assurer la protection de leurs données personnelles se sont accrues au cours des dernières années. En cas de lacunes de votre structure sur ce point, vos clients risquent ainsi de vous tourner le dos au bénéfice de concurrents plus vigilants…

Votre non-conformité peut également diminuer considérablement la valorisation de votre société lors de sa cession ou de sa fusion avec une autre entité. Vous savez ce qu’il vous reste à faire pour rouler sur l’or !

***

Mettre à mal votre conformité par soucis d’économie vous expose donc paradoxalement à de lourds risques financiers. Comme le résume l’adage, l’on ne peut pas avoir le beurre et l’argent du beurre !

Votre conformité vaut donc son pesant d’or !

 

 

Refuser d’engager des dépenses pour assurer la protection des données personnelles que votre organisme manipule pourrait se retourner contre vous. Ne tuez pas la poule aux œufs d’or !

L.H

 

[1] Pour plus d’informations concernant les bénéfices que votre organisme peut tirer de sa conformité, nous vous invitons à consulter notre précédent article sur le sujet à l’adresse suivante : https://www.rgpd-experts.com/rgpd-cest-pas-la-mer-a-boire/.

[1] Communiqué de presse de l’ANSSI du 09/03/2022, « Une année 2021 marquée par la professionnalisation des acteurs malveillants », https://www.ssi.gouv.fr/uploads/2022/03/cp_anssi_panorama_09032022.pdf.

[3] La CNIL est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] Conformément aux articles 226-16 et suivants, et 131-38 du Code pénal.

[5] Extrait de la conférence de presse de la Commission du 11 mai 2022 relative à la « présentation du rapport d’activité 2021 et des enjeux 2022 de la CNIL », https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2021_et_enjeux_2022_vf.pdf.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

Après deux ans d’enquête, la CNIL[1] a condamné la société TOTAL ÉNERGIES ÉLECTRICITÉ ET GAZ France au paiement d’une amende d’un million d’euros. Sa décision du 23 juin 2022 sanctionne deux principaux manquements du fournisseur d’énergie à la législation en vigueur en matière de protection des données à caractère personnel[2].

RGPD-Experts vous tient au courant des règles pourtant fondamentales mises en cause dans cette affaire.

Violation des règles relatives à la prospection

Saisie de 27 plaintes de particuliers, la Commission a pris la température de la conformité de TOTAL ÉNERGIES.

Elle a tout d’abord constaté les pratiques inadaptées de la société dans le cadre de ses campagnes de relance de prospects.

TOTAL ÉNERGIES a effectivement recontacté de nombreux clients potentiels par courrier ou par téléphone grâce aux informations personnelles que ceux-ci lui avaient fournies en ligne pour obtenir des devis, ce sans avoir préalablement recueilli leur consentement à recevoir des offres commerciales comme l’exige l’article L. 34-5 du Code des postes et des communications électroniques[3].

 

Or, ces prospects avaient accepté de renseigner leurs coordonnées sur le site Internet de l’entreprise pour une finalité précise, à savoir la souscription d’un possible contrat. Le fait d’utiliser ces informations pour leur vanter par la suite les avantages ou promotions proposées par TOTAL ENERGIES constitue une seconde finalité à l’exploitation de leurs données, pour laquelle ces internautes n’avaient pas donné leur accord.

Le formulaire de collecte de données en question mentionnait uniquement que :

« En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Énergie pour vous présenter ultérieurement ses offres »

L’usage de phrases génériques de ce type est à proscrire. Dans ces conditions, les intéressés n’étaient en effet pas en mesure de donner expressément leur consentement à ce que leurs coordonnées soient utilisées à des fins de prospection, alors même que les textes imposent que leur accord résulte d’un acte positif clair.

 

La CNIL a également conclu à un manque d’information ou une information incomplète des prospects démarchés par téléphone.

 

 

Lors de ces appels, les collaborateurs de TOTAL ÉNERGIES ne les renseignaient pas sur les principales caractéristiques du traitement de leurs données personnelles ainsi que sur leurs droits en la matière, en violation des articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD).

 

 

 

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

 

–       Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

 

–       Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

 

–   Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

 

–       Instaurer un mécanisme permettant aux personnes concernées d’obtenir l’ensemble des informations requises par les articles 13 et 14 du RGPD. Vous pouvez par exemple les inviter à appuyer sur une touche de leur clavier de téléphone les renvoyant vers une personne compétente ou activant la lecture d’un message préenregistré.

 

Violation des règles relatives au respect des droits des personnes concernées

Les dispositions issues du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée reconnaissent divers droits aux personnes concernées par le traitement de leurs données, afin qu’elles puissent en conserver la maitrise.

Comment briller sur ce point ?

L’étendue de ces prérogatives dépend de la nature du traitement de données en question. Elles se traduisent notamment, et selon les cas, dans le droit :

  • D’accéder à ses données et/ou d’en obtenir une copie ;
  • De les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • De les effacer ;
  • De limiter le traitement de ses données ;
  • Du droit à la portabilité de ses données ;
  • De s’opposer au traitement de ses données personnelles ;
  • De formuler des directives sur le sort de ses données après son décès auprès d’un tiers de confiance ;
  • De retirer à tout moment son consentement au traitement de ses données, si telle est la base légale du traitement ;
  • D’introduire une réclamation auprès de la CNIL.

Or, il y a justement eu de l’eau dans le gaz sur le sujet entre le fournisseur d’énergie et le gendarme français de la protection des données personnelles… La CNIL a en effet mis en évidence les lacunes de TOTAL ÉNERGIES dans la gestion des demandes d’exercice de droit formulées par ses clients et prospects.

L’autorité régulatrice révèle que la société n’a pas respecté les modalités de réponse imposées par les textes, voire s’est parfois purement abstenue de traiter ces requêtes, en particulier des demandes d’accès de clients à leurs données et leur opposition à être inscrits sur ses listes de prospection commerciale.

Lorsqu’un individu porte à la connaissance du responsable de traitement sa volonté d’exercer l’un de ses droits, ce dernier est tenu de lui indiquer les suites données à sa requête « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (article 12 RGPD)[4].

Ce délai de réponse peut être prolongé de deux mois, notamment en raison de la complexité ou du nombre de demandes adressées au responsable de traitement, et à condition d’informer le demandeur de ce report et de ses motifs.

Les investigations de l’autorité régulatrice ont ici permis de constater de multiples retards dans les réponses données aux clients et prospects ayant demandé à TOTAL ÉNERGIES d’exercer leurs droits.

La CNIL souligne le fait que la société ne pouvait pas se retrancher derrière le manque de coopération de ses partenaires commerciaux lui vendant les coordonnées de prospects pour justifier ces retards.

En effet, il lui appartient en tant que responsable de traitement de s’organiser pour pouvoir répondre aux demandes d’exercice de droit d’accès aux données dans les délais requis par la loi. Elle précise en outre que TOTAL ÉNERGIES pouvait aussi communiquer aux demandeurs les informations dont elle disposait les concernant au fur et à mesure que celles-ci lui étaient transmises, plutôt que de se taire mécaniquement.

TOTAL ÉNERGIES a également essayé de se défendre en argumentant que certains plaignants n’avaient pas contacté les services spécifiquement en charge de ces questions. La CNIL a estimé que cette circonstance n’exonérait pas la société de sa responsabilité, dès lors qu’elle avait pour obligation de répondre à toutes les requêtes qui lui sont envoyées, même par un autre canal que celui prévu à cet effet.

En l’occurrence, l’objet de ces demandes était clair. Il revenait donc à TOTAL ÉNERGIES de veiller en interne à ce qu’elles soient transférées au personnel compétent.

TOTAL ÉNERGIES a aussi pu juger à tort qu’il n’était pas utile de dépenser de l’énergie pour prévenir certains demandeurs de la régularisation de leur situation. Ces derniers sont alors restés illégitimement dans le noir en ce qui concerne les suites apportées à leurs sollicitations…

Pas besoin d’être une lumière pour comprendre l’importance de rédiger des procédures pour gérer efficacement le traitement des demandes d’exercice de droits des personnes concernées.

Des protocoles de vérification de la recevabilité de ces requêtes à la rédaction de réponses types, en passant par une analyse approfondie de l’applicabilité de ces droits à vos opérations de traitement, RGPD-Experts met à votre disposition son expertise pour vous éviter d’être confrontés à des situations électriques…

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] L’intégralité de la délibération de la CNIL est disponible à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045975295?init=true&page=1&query=San-2022-011&searchField=ALL&tab_selection=all

[3] Pour davantage d’informations concernant la gestion des données personnelles lors de vos campagnes de prospection, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[4] Cette règle vaut aussi en cas d’inaction du responsable de traitement, l’organisme devant alors justifier des raisons de son refus ainsi que de la possibilité pour le demandeur de saisir une autorité de contrôle de sa réclamation et de contester cette décision en justice.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

 

L’envolée des législations européennes relatives à la « protection » des données personnelles se poursuit.

Dans le prolongement des accords provisoires pour l’encadrement des services et des marchés numériques, la Commission Européenne a publié le 03 mai 2022 sa proposition de règlement pour un Espace Européen des Données de Santé, plus connu sous le nom de “European Health Data Space” (EHDS).

En quoi consiste ce nouveau projet ? RGPD-Experts vous explique les enjeux de ce texte. 

De quoi parlons-nous ?

Soulignant l’importance des services numériques dans la gestion de la pandémie de Covid-19, les États membres de l’Union Européenne (UE) se sont emparés de ce contexte pourtant exceptionnel pour insister sur la nécessité d’harmoniser leurs règles nationales sur l’accès et l’utilisation des données de santé.

L’Espace Européen des Données de Santé vise globalement à instaurer un marché unique de données de santé à l’échelle européenne.

Les finalités affichées de cette réforme sont doubles :

 

Faciliter l’utilisation primaire des données de santé des citoyens européens :

La proposition de règlement prévoit que les documents médicaux devront être émis sous une forme standardisée, afin de permettre leur partage dans et entre tous les États membres.

Selon la Commission, l’EHDS constitue en ce sens un avantage à la fois pour les patients et les professionnels de santé, en leur garantissant un accès et une maitrise de ces informations sensibles par-delà les frontières. D’après l’institution, cette interopérabilité sera gage d’une meilleure continuité des soins et d’une prise en charge optimale des malades.

Elle vise notamment à renverser les barrières linguistiques susceptibles d’entraver l’accès aux soins des patients ou la compréhension de leur dossier médical par les professionnels de santé. Chacun d’eux pourra désormais consulter les documents médicaux dans sa langue maternelle.

Exemple : un individu pourra ainsi aisément faire renouveler en Italie son ordonnance de médicaments délivrée en France, et se procurer son traitement en Allemagne.

Les données de santé des citoyens seront consignées au sein d’un programme que les États membres sont tenus d’intégrer d’ici 2025, intitulé « MyHealth@EU ».

Si la France a déjà partiellement déployé cette solution via le service « Sesali.fr »[1], d’autres États sont encore loin de cette révolution digitale. En effet, près d’un tiers des pays de l’UE recourent encore majoritairement à des dossiers médicaux et à des prescriptions papiers[2]

Faciliter l’utilisation secondaire des données de santé des citoyens européens :

La proposition de règlement établit également un cadre commun pour l’usage des données de santé à des fins de recherche, d’innovation, de statistiques ou d’élaboration de politiques de santé publique.

L’idée est simple : faire bénéficier les chercheurs, les entreprises du secteur de la santé et les décideurs d’une quantité importante de données pour augmenter la fiabilité de leurs projets respectifs.

L’ensemble de ces informations – censées avoir été préalablement anonymisées – seront rassemblées au sein d’une nouvelle infrastructure transfrontière développée à cet effet par l’Union Européenne, dénommée « HealthData@EU ».

Afin de contrôler l’exploitation de ces données mutualisées, chaque Etat membre devra mettre en place un organisme chargé de délivrer les autorisations d’accès aux entités et particuliers en faisant la demande.

La France s’est montrée particulière proactive face à cette réforme, puisqu’elle a créé une telle instance dès 2019. Ce Groupement d’Intérêt Public, composé de 56 parties prenantes relevant du domaine de la santé[3], porte le nom de « Health Data Hub » ou « Plateforme des données de santé »[4].

 

Les objectifs de l’Espace Européen des Données de Santé selon la Commission Européenne
Source : https://ec.europa.eu/commission/presscorner/detail/fr/fs_22_2713

Et en réalité ?

Si l’Union Européenne se targue d’instaurer ces nouveaux dispositifs en vue d’améliorer les diagnostics médicaux et les systèmes de santé, les enjeux de ce texte s’avèrent aussi et surtout économiques.

L’Espace Européen des Données de Santé entend inciter à l’innovation, en permettant aux entreprises du secteur de la santé de disposer d’un large échantillon de données de santé. Il a ainsi pour objectif de soutenir la croissance, en leur ouvrant de nouveaux marchés dans d’autres États membres.

La Commission ne cache également pas sa volonté de réduire le coût de ses politiques de santé publique.

Selon elle, l’EHDS devrait faire économiser à l’UE près de 11 milliards d’euros, tant grâce à l’optimisation attendue des activités des prestataires de soins (l’échange de données de santé entre professionnels devant éviter la répétition des examens médicaux et renforcer la fiabilité des diagnostics/traitements) que grâce à la documentation accrue des régulateurs (qui, disposant de données davantage probantes, sont supposés être plus à même d’ajuster leur gestion du système de santé et de stopper les dépenses inutiles).

Cet argument est paradoxal lorsque l’on sait que les États membres ont prévu d’investir 12 milliards d’euros dans la santé numérique… L’UE ne poursuivrait-elle pas des rêves chimériques ?

 

Des mesures si compréhensibles ?

Des questions perdurent quant aux modalités concrètes de mise en œuvre de l’Espace Européen des Données de Santé.

Les dispositions du règlement proposé par la Commission ne prévoient pas leur articulation avec les règles nationales des États membres en la matière, voire entrent ouvertement en contradiction avec elles.

Nous nous interrogeons sur la combinaison entre l’infrastructure européenne sur le partage de données de santé « MyHealth@EU », et le récent Dossier Médical Partagé instauré par le gouvernement français[5].

Par ailleurs, il n’est dit aucun mot sur les caractéristiques du format européen commun dans lequel devront être édictés les documents de santé afin d’être interopérables.

Enfin, les promesses de sécurité concernant l’exploitation des données de santé des citoyens européens sont particulièrement floues. Les formulations vagues employées par la Commission ne permettent pas de déterminer comment cette protection sera concrètement assurée…

Il est ainsi indiqué que ces données sensibles ne seront accessibles à des fins de recherche et d’innovation que pour des « finalités particulières » et non pour prendre des décisions préjudiciables aux citoyens, sous réserve d’être manipulées dans « des environnements fermés et sécurisés » et à condition que les identités des individus visés ne soient pas révélées.

Ces termes ne sont évidemment pas définis, de sorte qu’il est impossible de savoir comment l’anonymat des personnes concernées sera réalisé, ou à quels critères devront répondre les organismes souhaitant accéder à ces données pour justifier qu’ils disposent d’un environnement suffisamment “fermé et sécurisé“.

En d’autres termes, l’Espace Européen des Données de Santé pourrait compromettre la conformité des différents acteurs de cette santé numérique, qui restent tenus de respecter les exigences leur incombant aux termes du Règlement Général sur la Protection des Données (RGPD) [6].

Les organismes pourront-ils en pratique respecter et le RGPD, et la législation sur l’Espace Européen des Données de Santé ? Seul l’avenir nous le dira…

Avant d’entrer en vigueur, le projet de règlement de la Commission Européenne devra d’abord être examiné par le Conseil et le Parlement Européen.

S’il est adopté, ce texte modifiera légèrement l’organisation des institutions européennes, puisqu’il prévoit une nouvelle gouvernance spécifique à la santé numérique.  La création d’un « Comité de l’Espace Européen des Données de Santé » est envisagé. Composé des représentants des nouvelles autorités chargées de délivrer les autorisations d’accès aux bases de données de santé des Etats membres, de la Commission Européenne et d’observateurs divers, ce comité a pour ambition de veiller à une application cohérente des règles en matière de santé numérique sur le territoire de l’UE.

Un rôle non négligeable compte tenu des risques que cette réforme soit comprise différemment par tous, faisant des citoyens européens les grands perdants de ce probable quiproquo…

L.H

[1] Bien que déjà accessible, ce nouveau service de santé proposé par l’Agence du Numérique en Santé (ANS) n’est à ce jour pas encore finalisé. Seuls les citoyens de certains pays membres de l’UE y sont pour l’instant éligibles (Croatie, Malte, Portugal…).

[2] Source : « Questions et réponses – Santé dans l’UE : l’espace européen des données de santé », 03 mai 2022, eu.europa.eu (https://ec.europa.eu/commission/presscorner/detail/fr/qanda_22_2712)

[3] Dont la caisse nationale de l’assurance maladie (CNAM), la fédération française de l’assurance (FFA), l’institut national de la santé et de la recherche médicale (INSERM), l’institut national de la recherche en informatique et en automatique (INRIA), le centre national de la recherche scientifique (CNRS), la fédération hospitalière de France (FHF), l’assistance publique hôpitaux de Paris (AP-HP), etc.

Les modalités de fonctionnement de la plateforme sont régies par les articles L1462-1 et R1462 et suivants du Code de la santé publique.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est l’autorité administrative indépendante française compétente en matière de protection des données personnelles, a toutefois émis de nombreuses réserves concernant les modalités de mise en œuvre de cette « Plateforme des Données de Santé » et sur les risques qu’elle présente en l’état actuel pour les libertés individuelles.

[5] Pour plus d’informations concernant les enjeux de ce « Dossier Médical Partagé » en matière de protection des données personnelles, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/donnees-medicales/

[6] En effet, les mesures prévues au sein de la proposition de règlement de la Commission ne dérogent pas au RGPD.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

  • Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

  • Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

  • Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
  • Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
  • Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.
En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.
Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

 

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des analyses d’impact relatives à la vie privée et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

 

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

  • De 2 ans d’expérience dans le domaine de la protection des données
  • Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

 

Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO 

Le Délégué à la Protection des Données peut-être :

  • Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
  • Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.
  • Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).
AVANTAGES PRINCIPAUXAVANTAGES PRINCIPAUX
DPO Interne– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO – Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité. – Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes. – Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.           

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

– Conformité de votre site Internet : quels sont les points de vigilance ? –

Entre les informations collectées à travers des cookies et les renseignements recueillis auprès des internautes par un formulaire de contact, via leur compte individuel ou encore leur inscription à des newsletters, la gestion d’un site Internet entraine le traitement de nombreuses données personnelles.

Les organismes et les particuliers mettant en œuvre ces interfaces sont dès lors soumis aux exigences du Règlement Général sur la Protection des Données (RGPD).

RGPD-Experts vous livre ses conseils pour mener à bien vos projets en ligne !

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Conformément au principe de minimisation des données, vous n’êtes tenu de recueillir que les données pertinentes strictement nécessaires pour atteindre l’objectif poursuivi par leur collecte.

Concrètement, vous ne pouvez pas demander à vos interlocuteurs des renseignements personnels dont vous n’avez pas besoin dans l’immédiat.

Exemple : il n’est pas indispensable de connaître l’identité et les coordonnées complètes de l’internaute souhaitant s’abonner à votre newsletter. Seule son adresse e-mail est requise pour lui fournir ce service. En revanche, vous aurez besoin de ces éléments s’il commande un produit sur votre site Internet, afin de lui livrer le bien.

Nous vous conseillons de distinguer les informations obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Cette solution laisse le choix à l’utilisateur de vous fournir ou non davantage d’informations le concernant.

Nous vous recommandons également de limiter au maximum les zones de libres commentaires, c’est-à-dire les champs vides dans lesquels l’internaute peut consigner librement ce qu’il souhaite.

Non seulement ce dernier pourrait vous fournir plus de données que ce dont vous auriez besoin, mais il pourrait également vous communiquer spontanément des informations sensibles à son sujet. Or, le traitement de données sensibles est strictement encadré par le RGPD. Epargnez-vous ces complications tant que vous le pouvez !

Dotez-vous d’une politique de protection des données accessible et compréhensible

Pourquoi ? – Le RGPD impose d’informer les personnes concernées des principales caractéristiques du traitement fait de leurs données personnelles lors de leur utilisation de votre site Internet, ainsi que de leurs droits pour en conserver la maîtrise.

Afin de répondre à cette obligation légale, il est essentiel de définir une politique de protection des données.

Quoi ?  – Ce document, distinct des conditions générales de vente (CGV) ou des conditions d’utilisation du site (CGU), doit faire état de diverses mentions obligatoires expressément prévues par le RGPD.

Il doit a minima comporter les indications suivantes :

  • L’identité et les coordonnées du responsable du traitement de données ;
  • L’identité et les coordonnées du Délégué à la protection des données, s’il l’en a été désigné un – ou de la personne référente en matière de protection des données personnelles ;
  • Les finalités de chaque traitement de données lié à l’usage du site (le but de la collecte des données);
  • La base légale de chaque traitement de données (le fondement juridique vous donnant droit de traiter les données);
  • Le caractère obligatoire ou facultatif du recueil des données ;
  • Les destinataires ou catégories de destinataires des données (ceux qui pourront être amenés à y accéder ou à les recevoir, y compris les sous-traitants) ;
  • La durée de conservation des données, ou les critères permettant de déterminer cette durée ;
  • Les droits des personnes concernées (leurs droits d’accès, de rectification, d’effacement, à la limitation du traitement, ainsi que leurs droits d’opposition et à la portabilité des données s’ils sont applicables);
  • Le droit d’introduire une réclamation auprès de la CNIL[1].

Selon les opérations de traitement que vous mettez en œuvre, d’autres renseignements devront aussi éventuellement figurer, et notamment :

  • La nature des intérêts légitimes que vous poursuivez ou le droit pour l’utilisateur de refuser de donner son consentement ou de le retirer à tout moment, si telles sont les bases légales de votre traitement de données ;
  • L’existence d’un transfert des données en dehors de l’Union européenne et les garanties associées pour assurer un niveau de protection suffisant des données transmises à l’étranger ;
  • L’existence d’une prise de décision automatisée ou d’un profilage ainsi que ses conséquences pour la personne concernée et la logique sous-jacente de l’algorithme utilisé ;
ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].                   

Afin de répondre à ces exigences, il est donc impératif que votre politique de protection des données soit adaptée à votre propre situation et aux opérations de traitement que vous mettez en œuvre.

La CNIL exige que celle-ci reflète la réalité de vos activités, et ne soit pas rédigée de manière abstraite. Les phrases génériques de type « notre organisme est susceptible d’utiliser des données vous concernant pour mener à bien ses missions » sont à bannir. 

Comment ? – Selon l’article 12 du Règlement européen, cette information doit être « concise, transparente, compréhensible et aisément accessible ».

Cela implique notamment qu’elle soit formulée en des termes simples, adaptés au public visé.

Pour rappel, l’Autorité de Contrôle néerlandaise avait condamné en 2021 la société « TikTok » au paiement d’une amende de 750.000 euros pour ne pas avoir mis à disposition des adolescents inscrits sur l’application une information adaptée à leur âge et dans leur langue maternelle.

Les personnes concernées doivent aussi pouvoir consulter facilement votre politique de protection des données. A ce sujet, la CNIL préconise de recourir à une notice d’information accessible :

  • En plusieurs niveaux : c’est-à-dire de fournir rapidement les informations globales sur le traitement de données avant de renvoyer vers une description plus précise de ses conditions de mise en œuvre.
  • Sur différents canaux : liens, menus dépliants, « pop-up », icônes et vidéos d’explications, etc.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] En cas de collecte indirecte de données, votre politique de confidentialité devra également faire apparaître les catégories de données obtenues ainsi que leur source.

De même, si l’ensemble de ces informations doit être délivré aux personnes concernées au moment du recueil de leurs données en cas de collecte directe, elles doivent en principe leur être fournies « dès que possible » en cas de collecte indirecte – c’est-à-dire au 1er contact avec la personne concernée ou au plus tard dans un délai d’un mois.

Contrôlez le recueil du consentement des personnes concernées

Si certains traitements de données ont pour base légale le consentement, il vous appartient :

► D’organiser le recueil du consentement des personnes concernées [3]

Ce fondement juridique suppose que leur autorisation à la collecte et l’exploitation de leurs données personnelles résulte d’une déclaration ou d’un acte positif clairs.

Exemples :

▪ Sont considérées comme satisfaisantes les pratiques suivantes : le fait de cocher une case lors de la consultation d’un site, d’opter pour certains paramètres techniques d’application, de remplir un formulaire d’autorisation…

▪ Sont exclues les modalités de recueil du consentement suivantes : les cases pré-cochées par défaut, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), les consentements tirés de l’inaction de l’individu (l’absence de réponse à un courriel sollicitant le consentement)…

Afin d’être valable, le consentement doit répondre à quatre conditions cumulatives essentielles. Il doit être :

Libre – La personne concernée ne doit pas avoir été contrainte ni influencée de donner son consentement. Elle doit pouvoir refuser le traitement de ses données personnelles sans avoir à subir de répercussions négatives de ce refus.

Spécifique – Lorsque le traitement poursuit divers objectifs, un consentement distinct doit pouvoir être donné pour chacun de ces buts spécifiques.

Éclairé – La personne concernée doit avoir parfaitement conscience de la portée de son accord.

Univoque – Le consentement doit être exprimé sans ambiguïté.

Il vous appartient de justifier auprès des autorités de contrôle que vous avez bien obtenu le consentement licite des internautes dont vous manipulez les données.

Il est donc absolument indispensable que vous vous dotiez de moyens techniques permettant d’attribuer le consentement donné à son véritable auteur, ainsi que de dater précisément le moment du recueil voire du retrait du consentement – en prévention d’éventuelles contestations à ce sujet.

► D’organiser la modification et l’éventuel retrait de leur consentement

Vous êtes tenu de prendre toutes les mesures nécessaires pour permettre aux personnes concernées de retirer simplement et à tout moment le consentement initialement donné [4].

Exemple : Paramétrages d’application, lien de désabonnement au sein des newsletters ou mails publicitaires…

Vous devrez évidemment tirer toutes les conséquences de ce retrait, à savoir notamment :

·      Cesser immédiatement le traitement des données personnelles de l’auteur de cette rétractation ;

·      Effacer les données traitées, sur demande de la personne concernée et si aucune autre finalité ne justifie leur conservation (article 17(1)(b) RGPD).

► De documenter votre gestion efficace des consentements, conformément au principe “d’accountability”[5]

[3] ATTENTION – Le recueil du consentement des mineurs est soumis à des règles particulières, non détaillées au sein de cet article.

[4] Étant observé que cette rétractation n’aura pas pour effet de compromettre la licéité des traitements fondés sur le consentement mis en œuvre avant ce retrait.

[5] Le principe « d’accountability » est un principe de responsabilité sous-tendant que vous vous conformiez aux exigences en matière de protection des données d’une part, et que vous soyez en capacité de démontrer cette conformité en toutes occasions d’autre part.

Veillez à la bonne gestion de vos cookies et autres traceurs

Les cookies sont des fichiers informatiques émis par une page Internet, et transmis jusqu’au téléphone ou l’ordinateur de l’utilisateur. Ils sont ensuite stockés sur les serveurs de cet équipement terminal, et y collectent de nombreuses données personnelles.

Certains cookies techniques sont dits « obligatoires », en ce qu’ils sont indispensables au bon fonctionnement et à la sécurité du site Web.

D’autres, « non nécessaires », permettent d’optimiser les fonctionnalités du site et d’en adapter le contenu pour améliorer l’expérience de chaque usager (ciblage publicitaire, études statistiques sur les habitudes d’utilisation des internautes…)  [6].

Dans le cadre de votre conformité, nous vous recommandons à ce sujet :

D’informer les personnes concernées des principales caractéristiques des traitements de données issues de ces traceurs.

Nous vous invitons à rédiger une politique de confidentialité spécifique à votre gestion des cookies, distincte de votre politique générale de protection des données.

  • De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

  • De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [7].

  • De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [1].

Appréhendez correctement votre prospection commerciale

Selon la nature de votre client potentiel et le moyen de communication employé pour le contacter, la base légale du consentement peut vous être imposée pour ce traitement de données … avec toutes les conséquences que cela génère pour votre conformité [8] !

  • ATTENTION – En réaction aux réclamations relatives aux publicités non sollicitées subies quotidiennement par de nombreux particuliers, la CNIL a érigé la prospection commerciale comme l’un de ses thèmes prioritaires de contrôle pour l’année 2022. Ces pratiques feront l’objet d’une surveillance accrue.

Assurez-vous de respecter les règles propres au paiement en ligne

Si votre site Internet permet à vos clients de commander des biens ou des services en ligne, il vous appartient de prendre toutes les précautions nécessaires pour leur offrir un moyen de paiement dématérialisé conforme aux exigences du RGPD.

En cas de paiement ponctuel [9], nous vous invitons notamment à vérifier :

  • Que seules les données strictement autorisées sont collectées, à savoir le numéro, la date d’expiration et le cryptogramme visuel de la carte bancaire ;
  • Que, sauf consentement du client, ces données ne sont pas conservées une fois la transaction finalisée ;
  • Que des mesures de sécurité supplémentaires ont été instaurées pour éviter la compromission de ces données personnelles (mécanisme d’authentification renforcé, camouflage de tout ou partie de numéro de la carte lors de son affichage, etc.).

  • RGPD-Experts met à votre disposition ses outils et les compétences de professionnels reconnus pour vous permettre de rédiger en toute simplicité les mentions légales de votre site, de formuler votre politique de protection des données ou simplement de vous guider dans la conformité de votre page Web.Nous vous invitons à vous rapprocher de nos services pour bénéficier d’un accompagnement fiable et complet dans la mise en œuvre de vos projets en ligne..

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[7] Source : https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

[8] Ce en application de l’article L.34-5 du Code des postes et des communications électroniques. Si cette problématique vous intéresse, vous pouvez en apprendre davantage à travers notre publication : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[9] Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

   L’Union Européenne donne le « la » en matière de réglementation des services et marchés numériques

La digitalisation de notre économie et la dématérialisation de nos relations humaines se sont démocratisées au point que nous en oublierions presque l’ampleur du phénomène.

Des sites de vente en ligne à l’omniprésence des publicités sur Internet, en passant par les applications de paiement à distance et les réseaux sociaux : ces fonctionnalités – un temps regardées comme de véritables innovations – se sont depuis largement banalisées.

Or, une fois de plus, le monde juridique peine à suivre le rythme de ces progrès technologiques.

Si les législateurs ne peuvent pas aller plus vite que la musique, les textes européens en vigueur en la matière s’avèrent anachroniques. De fait, les règles applicables aujourd’hui trouvent encore leur source dans une directive du 08 juin 2000 dite « Directive sur le commerce électronique »[1] & [2]

Il est donc temps de changer de disque ! La Commission européenne a proposé en décembre 2020 deux résolutions destinées à moderniser et à harmoniser les normes actuelles régissant ce domaine.

Elles ont pour ambition de confirmer les principes essentiels de la directive sur le « e-commerce », tout en la réformant en profondeur afin de l’adapter aux évolutions économiques et sociétales intervenues depuis les années 2000.

Ce « paquet législatif » est composé de deux propositions complémentaires, à savoir :

  • Une législation sur les services numériques, aussi connue sous le nom de « Digital Services Act » (DSA).
  • Une législation sur les marchés numériques, appelée également « Digital Markets Act » (DMA).

Ces textes ne sont d’ailleurs pas remis en cause par l’adoption du paquet législatif européen sur les services et marchés numériques.

Le 24 mars 2022, le Conseil et le Parlement européens se sont accordés sur les mesures contenues dans la proposition de législation sur les marchés numériques.

Puis, le 23 avril 2022, ces institutions ont cette fois donné sans tambour ni trompette leur accord politique provisoire pour la législation sur les services numériques.

Comment ce paquet législatif entend-t-il orchestrer les espaces numériques utilisés par les citoyens européens ?

 

Encore un petit bémol…    

Nous attirons votre attention sur le fait que, même si les risques sont faibles, ces mesures peuvent encore être modifiées !

Ces législations n’ont en effet pas été définitivement adoptées. Les accords provisoires intervenus les concernant doivent encore être approuvés par le Conseil et le Parlement européen.

A l’issue de ce vote, le règlement sur les marchés numériques devrait être mis en œuvre dans un délai de six mois après son entrée en vigueur.

Quant à la proposition sur les services numériques, l’approbation du « Comité des représentants permanents » est requise avant son adoption formelle. Il est prévu que ce texte entre en vigueur 20 jours après sa publication au Journal officiel de l’Union Européenne. Il aura ensuite vocation à s’appliquer dans les quinze mois suivants, ou à compter du 1er janvier 2024, la date la plus tardive étant retenue[3].

La proposition de règlement sur les services numériques a vocation à s’appliquer en complément et parallèlement au Règlement Général sur la Protection des Données (RGPD).

Aux termes de l’article 1(5) de la Proposition de règlement formulée en décembre 2020, ce texte s’entend également sans préjudice des règles établies par les actes suivants :

« (a) la directive 2000/31/CE [sur le commerce électronique] ;

(b) la directive 2010/13/CE [sur les services de médias audiovisuels] ;

(c) le droit de l’Union sur le droit d’auteur et les droits voisins ;

(d) le règlement (UE) …/… relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne [une fois adopté] ;

(e) le règlement (UE) …/… relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, et la directive (UE) …/… établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale [une fois adoptés] ;

(f) le règlement (UE) 2019/1148 ;

(g) le règlement (UE) 2019/1150 [promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne] ;

(h) le droit de l’Union en matière de protection des consommateurs et de sécurité des produits, notamment le règlement (UE) 2017/2394 ».

Le champ d’application du règlement sur les marchés numériques est lui aussi particulièrement large, puisqu’il n’aspire pas à remettre en cause les articles 101 et 102 du Traité sur le Fonctionnement de l’Union Européenne en matière de lutte contre les pratiques anti-concurrentielles, ou toute autre législation nationale en vigueur à ce sujet.

La directive (UE) 2018/1972 du 11 décembre 2018 établissant le Code des communications électroniques européen n’est pas davantage abrogée du fait de l’adoption de ce paquet législatif.

Loin d’assurer une protection accrue des utilisateurs de services en ligne, cette superposition de réglementations risque à l’inverse d’être source de confusion.

Les dispositions contradictoires de ces différentes législations offriront autant de failles dans lesquelles pourront s’engouffrer les plateformes de réseaux sociaux et les moteurs de recherche pour échapper à leur responsabilité, au détriment des internautes.

L’encadrement à outrance de ces mesures, que l’Union Européenne souhaiterait être réglées comme du papier à musique, pourrait bien tourner en véritable cacophonie juridique !

[1] « Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur ».   

[2] L’Union Européenne avait toutefois déjà commencé à encadrer progressivement certains secteurs du marché numérique, notamment à travers le « Règlement 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne », ou encore la « Directive 2015/2366 du 25 novembre 2015 concernant les services de paiement en ligne ».

[3] Étant précisé que les obligations incombant aux très grandes plateformes en ligne et très grands moteurs de recherche s’appliqueront à l’issue du 4ème mois à partir de la date à laquelle ils auront été désignés comme tels.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

 

Tenir à jour un registre de ses activités de traitement, respecter les droits des personnes concernées ou encadrer ses relations de sous-traitance : à coups d’articles de sensibilisation, ces grands principes édictés par le Règlement Général sur la Protection des Données (RGPD) commencent à être pleinement intégrés par les organismes traitant des données personnelles.

D’autres impératifs issus de ce texte n’ont malheureusement pas bénéficié de la même publicité.

Tel est notamment le cas de l’Analyse d’Impact relative à la Protection des Données ou « AIPD ». Grande oubliée des campagnes de communication, cette notion n’en demeure pas moins une obligation légale pour les responsables de traitement, et mérite à ce titre d’être elle aussi mise en lumière.

Qu’est-ce que cette mesure préventive ?

L’AIPD [1] est un processus consistant à décrire le traitement de données envisagé, avant son instauration, pour évaluer ses risques pour les personnes concernées et réfléchir sur ses conditions de mise en œuvre.

L’analyse d’impact est donc un outil précieux de responsabilisation. Elle aide le responsable de traitement à identifier en amont les possibles lacunes des opérations de traitement projetées, et lui permet ainsi d’adopter les mesures rectificatives requises pour agir en toute conformité.

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Tout traitement de données personnelles ne doit pas faire l’objet d’une AIPD. En application de l’article 35 du RGPD, seuls sont concernés ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Toute la question est donc de savoir ce que recouvre cette expression de « risque élevé pour les droits et libertés » ?

Ce risque s’entend généralement d’un événement redouté qui, s’il survenait, aurait des conséquences particulièrement néfastes pour les individus dont les données personnelles sont exploitées. Le type de dommage pouvant être subi par les éventuelles victimes est indifférent pour caractériser ce danger [2]

La nature du dommage craint est elle aussi indifférente. Il peut s’agir d’un préjudice d’ordre moral, physique, financier ou matériel.

L’équation est la suivante :

 

Niveau de risque = vraisemblance du risque X gravité du risque

Autrement dit, il est possible de baisser le niveau de risque en diminuant soit la probabilité qu’il advienne, soit l’ampleur des préjudices encourus par les personnes concernées s’il devait se manifester.

Mais encore ?…

Pas toujours évidemment de savoir si un traitement de données répond à cette définition. Afin de conclure s’il y a lieu ou non de mener une AIPD, nous vous conseillons de suivre le raisonnement suivant :

ÉTAPE 1  :

Vérifier si votre traitement figure expressément parmi ceux pour lesquels la CNIL [3] estime qu’une AIPD est requise ou, au contraire, exclue. Afin d’accompagner les professionnels dans leurs démarches, l’autorité de contrôle a en effet publié :

  • Une liste non exhaustive d’activités pour lesquelles elle jauge qu’une AIPD est nécessairement requise.

La liste complète de ces activités est disponible à l’adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Dans ce cas, nous vous recommandons de vous conformer à la doctrine de l’autorité régulatrice et de réaliser une analyse d’impact.

  • Une liste non exhaustive d’activités qu’elle considère comme étant exemptées d’AIPD.

L’énumération complète de ces activités est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf

Dans ce cas, il existera une forte présomption que vous n’ayez pas à mener une telle AIPD.

Toutefois, la présence de votre opération projetée sur cette liste ne doit pas vous empêcher de vous poser les questions prévues à l’étape 2.

Par exception, aucune analyse de risque n’est exigée lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

   1° Ce traitement soit prévu par la législation européenne ou nationale ;

   2° Que les textes constituant sa base juridique réglementent l’opération de traitement en question ;

   3° Qu’une AIPD ait déjà été menée lors de l’adoption de ce fondement juridique.

ÉTAPE 2  : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

 

Ce processus a vocation à déterminer si le traitement est de nature à porter atteinte aux droits et libertés des personnes, en particulier « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (art. 35 RGPD).

Selon les lignes directrices du Comité Européen de la Protection des Données[4], une AIPD doit être effectuée si le traitement remplit au moins deux des neufs critères suivants, à savoir qu’il implique :

  1. Une évaluation ou notation, y compris les activités de profilage et de prédiction ;

(Exemple : les traitements analysant les préférences des consommateurs sur un site en ligne afin de cibler leurs publicités selon leur profil marketing)

  1. Une prise de décision automatisée avec effet juridique ou effet similaire significatif ;

(Exemple : les traitements utilisés pour définir les conditions d’une police d’assurance, plus ou moins avantageuses en fonction des risques relevés dans la situation du souscripteur)

  1. Une surveillance systématique ;

(Exemple : les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées ou une zone géographique donnée, tels que les réseaux de vidéosurveillance ou de vidéoprotection)

  1. Une collecte de données sensibles ou données à caractère hautement personnel ;

(Exemple : données pénales, à caractère sexuel, données de santé / biométriques / génétiques, données syndicales ou politiques, données de religion, sur les origines, etc.)

  1. Une collecte de données personnelles à large échelle ;

Le CEPD précise que cette notion s’apprécie non seulement au regard du nombre de personnes concernées, mais également du volume de données traitées, de l’étendue géographie et temporelle de l’activité de traitement, du caractère proportionné de l’échantillon d’individus ciblés, etc.

  1. Un croisement de données ;

Tel est le cas si le traitement de données met en relation plusieurs informations personnelles collectées auprès d’un individu dans des contextes différents.

  1. Des données personnelles d’individus vulnérables ;

( Exemple : personnes âgées, malades ou handicapées, mineurs, demandeurs d’asile, mais aussi les salariés dans leurs rapports avec leur employeur, compte tenu du déséquilibre des pouvoirs existant entre eux.)

  1. Un usage innovant des données ou l’utilisation de nouvelles solutions technologiques ;

(Exemple : systèmes de reconnaissance faciale ou d’empreintes digitales, d’intelligence artificielle.)

  1. L’exclusion du bénéfice d’un droit/contrat.

(Exemple : les traitements utilisés dans le cadre de l’attribution ou du refus d’octroi de crédit bancaire)

Selon le CEPD, cette règle n’a pas vocation à être interprétée strictement.

Vous pouvez ainsi décider de conduire une AIPD alors même qu’un seul des neufs critères serait rempli, si vous estimez que le traitement présente malgré tout un risque élevé pour les droits et libertés des personnes concernées. A l’inverse, vous pouvez également considérer que, bien que votre traitement satisfait au moins deux de ces critères, une AIPD ne serait pas requise. 

ATTENTION – Le fait de réaliser une analyse de risque ainsi que la décision finale de mener ou non une AIPD à l’issue de cette analyse de risque sont laissés à la libre appréciation du responsable de traitement.

Charge à lui de justifier, en cas de contrôle, les arguments juridiques et de fait pris ayant conduit à sa décision.

Alors comment mener une AIPD si celle-ci s’impose ?

Les acteurs de l’AIPD

L’obligation de mener une AIPD incombe au seul responsable de traitement.

Toutefois, les textes précisent que celui-ci doit, à cette occasion, se faire entourer :

  • Du Délégué à la Protection des Données de l’organisme, s’il en a été désigné un. Ce dernier est investi d’une mission de conseil et sera tenu de superviser le déroulement de l’analyse.
  • De ses sous-traitants, qui ont le devoir de l’assister durant ce processus et de coopérer avec lui.
  • Il peut aussi, s’il le souhaite, demander leurs avis directement aux personnes concernées.

Nous vous recommandons également de consulter les membres impliqués de votre personnel, afin d’obtenir un retour terrain des modalités de mise en œuvre du traitement analysé (le fournisseur du produit ou logiciel utilisé, les collaborateurs appelés à manipuler les données, le responsable de la sécurité des systèmes d’information, les opérateurs techniques et de maintenance, etc.)

Le contenu de l’AIPD 

L’AIPD doit impérativement faire figurer les mentions obligatoires suivantes (art. 35 RGPD) [5] :

  • Une description des principales caractéristiques du traitement envisagé: nature des opérations projetées, finalités du traitement, volume et catégories de données devant être traitées, volume et catégories des personnes ciblées, ainsi que toute information relative aux aspects techniques et opérationnels de mise en œuvre du traitement (matériel utilisé, cartographie des flux de données, mesures de protection instaurées, etc.),
  • Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à l’objectif poursuivi,
  • Une évaluation des risques pour les droits et libertés des personnes concernées: quelle est la probabilité que survienne une atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles traitées ? Quelles seraient les répercussions d’un tel incident pour les potentielles victimes ?
  • Les mesures envisagées pour faire face aux risques identifiés, et les garanties adoptées par le responsable de traitement pour assurer la sécurité des données manipulées et sa conformité.

L’AIPD est un processus itératif. Il conviendra de réévaluer le risque tout au long de la vie du traitement.

Les éléments relatifs aux AIPD menées par votre organisme figurent parmi la documentation justifiant de votre conformité. Il convient donc de conserver précieusement toutes les pièces dont vous disposez à ce sujet, à titre de preuve.

La possible consultation de l’autorité de contrôle

Le responsable de traitement doit consulter la CNIL lorsque les résultats de l’AIPD mettent en évidence que le niveau de risque pour les personnes concernées demeure élevé malgré les mesures préventives prises pour l’atténuer.

Or, dans ce contexte, la CNIL peut faire usage de ses pouvoirs de contrôle et de répression si elle estime que la mise en œuvre de ce traitement constituerait une violation du RGPD. Le choix de communiquer ou non son AIPD à l’autorité régulatrice pour avis n’est donc pas une question à prendre à la légère…

* * *

Trop souvent incomprise, cette obligation légale de mener une AIPD constitue pourtant un enjeu de taille pour les responsables de traitement.

Outre d’éventuelles sanctions pénales ou judiciaires, tout manquement aux règles relatives aux analyses d’impact est passible d’une amende administrative dont le montant peut s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant retenu (art. 83 du RGPD).

RGPD-Experts a mis en place une méthodologie fiable et efficace pour mener à bien ce processus fastidieux au sein de votre organisme. Notre modèle prend en considération les particularités de votre structure, afin d’aboutir à une analyse fiable et adaptée à votre propre situation.

Nous vous invitons à contacter nos services si vous souhaitez être accompagnés dans la conduite de vos AIPD, et ainsi éviter de devoir consulter la CNIL avant de mettre en œuvre vos traitements de données.

L.H


[1] Aussi appelée « Analyse d’impact sur la vie privée » ou « DPIA », de l’anglais « Data Privacy Impact Assessment ».

[2] Peu importe qu’il soit à craindre une violation de leur droit au respect de leur vie privée, à la protection de leurs données personnelles, ou de tout autre droit fondamental (interdiction des discriminations, libertés de conscience et d’expression, liberté syndicale…).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] A cet égard, nous vous invitons à lire l’annexe 2 des lignes directrices du Comité Européen de la Protection des Données précitées.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.