Euro numérique

Euro numérique : les recommandations de l’EDPB et l’EDPS

 

Le Comité Européen de la Protection des Données (En anglais « European Data Protection Board » ou EDPB) et le Contrôleur Européen de la Protection des Données (« European Data Protection Supervisor » ou EDPS) ont publié mercredi 18 octobre 2023 un avis conjoint sur la proposition de règlement relatif à l’euro numérique en cours de création par la Banque Centrale Européenne (BCE). Cet avis conjoint fait suite à la demande de la Commission Européenne.

Leurs recommandations visent à garantir les « normes les plus élevées en matière de protection des données à caractère personnel (DCP) et de la vie privée pour le futur euro numérique en cours de création par la BCE ».

Le sigle français CEPD étant le même pour désigner le Contrôleur et le Comité, nous utiliserons plutôt les abréviations anglaises EDPB et EDPS dans la suite de cet article.

RGPD-Experts vous livre son analyse

 

Le Comité Européen de la Protection des Données (EDPB) a pour mission d’harmoniser l’application du RGPD au sein des autorités de protection des données européennes, tout en encourageant leur coopération. Le Contrôleur Européen de la Protection des Données (EDPS) quant à lui, surveille la conformité des institutions et organes européens au RGPD.

La distribution imminente de l’euro numérique, en tant que monnaie légale, générera une multitude de traitements de données personnelles par divers acteurs publics et privés. Ces traitements auront inévitablement des répercussions sur la vie privée, les libertés individuelles et les droits des citoyens.

Avant la mise en circulation de l’euro numérique, le Comité et le Contrôleur jouent pleinement leur rôle en émettant des recommandations. L’objectif est de garantir le respect des réglementations en matière de protection des données, des personnes et des libertés individuelles. Les autorités insistent sur le principe de « privacy by design and by default » énoncé à l’article 25 du RGPD [1], exigeant la mise en place de mesures techniques et organisationnelles adéquates et proportionnées. Ces mesures visent à assurer la conformité au RGPD et à garantir la protection des droits des personnes concernées.

Contexte et rétrospective des 3 dernières années

 

En octobre 2020, la BCE (Banque centrale Européenne) a publié un rapport sur l’euro numérique, visant à consulter les parties prenantes et le grand public sur son projet de monnaie numérique, dans le but de répondre à la forte réticence des régulateurs financiers quant au développement des cryptomonnaies.

Le rapport fait part du constat de la BCE du déclin des paiements en espèces au profit des solutions de paiement numériques.

En recontextualisant : l’explosion des paiements numériques a été, sans aucun doute, favorisée par la pandémie de covid-19. Les paiements électroniques s’imposent du fait des confinements successifs dans toute l’Union Européenne (UE), de l’instauration de la « distance sociale » et des « gestes barrières », accompagnée de l’adoption générale du paiement sans contact, de l’essor d’e-commerce, des plateformes de livraison et du « click and collect ». Les banques ont d’ailleurs largement contribué au développement de ce mode de paiement en augmentant les seuils de paiement mais aussi en accélérant le déploiement de solutions de paiements sur mobile.

La valeur du Bitcoin – la cryptomonnaie ayant la plus forte capitalisation – a oscillé entre 4500€ et 57000€, avec de fortes variations à la hausse comme à la baisse entre début 2020 et fin 2022, démontrant une nouvelle fois sa volatilité. C’est un argument clé en main pour les banques centrales qui souhaitent réguler, voire verrouiller l’ensemble du marché.

Plusieurs cryptomonnaies appelées « stable coins », censées répliquer le cours des monnaies fiduciaires (comme le dollar) se sont effondrées en 2022. Terra USD et FTX par exemple, entraînant dans leur chute la ruine de nombreux investisseurs et la fragilité de tout « l’écosystème crypto » : les autres cryptomonnaies, les plateformes d’échange, et les entreprises impliquées.

Les banques centrales bénéficient donc d’un contexte plutôt favorable à l’accélération de la création de leurs propres monnaies numériques – Monnaies Numériques de Banques Centrales (MNBC) – dans lesquelles s’inscrit l’euro numérique de la BCE.

Si la BCE semble avoir une autoroute devant elle, elle devra dans tous les cas respecter les limitations de la collecte, des traitements, et de la conservation des données personnelles. Elle aura droit à différents rappels à la loi par les autorités.

Les résultats de la consultation de la BCE sont publiés en avril 2021. L’EDPB adresse dès le 18 juin 2021 une lettre aux institutions européennes concernant ce projet [2], où il y est déjà question de mise en œuvre du principe de « privacy by design and by default ».

Le 14 juillet 2021, la BCE annonce le lancement de son projet d’euro numérique : une phase pilote de deux ans et un objectif d’une mise en œuvre définitive vers 2024 [3].

L’EDPB adopte le 10 octobre 2022 une déclaration sur le choix de conception d’un euro numérique du point de vue de la vie privée et de la protection des données [4] dans laquelle figurent cinq grandes recommandations :

  • Respecter la vie privée et la protection des données dès la conception et par défaut,
  • Éviter la validation et le traçage systématiques des transactions,
  • Instaurer un seuil de protection de la vie privée, tant hors ligne qu’en ligne,
  • Créer un cadre réglementaire spécifique,
  • Encourager le débat démocratique public.

L’avis conjoint de l’EDPB et de l’EDPS du 18 octobre 2023 reprend – encore – ces recommandations et les étaye, rappelant ce qui a déjà été mis en œuvre, les risques résiduels, les modifications préconisées et les compléments attendus.

Il convient de rappeler que la BCE est indépendante dans l’exercice de ses pouvoirs et que l’Union Européenne et ses institutions, organes et organismes, doivent respecter cette indépendance conformément à l’article 282 paragraphe 3 du Traité sur le Fonctionnement de l’Union Européenne (TFUE). Il est stipulé à l’article 130 que la BCE ne sollicite et n’accepte pas d’instructions de ces derniers.

L’EDPB et l’EDPS respectent cette autonomie décisionnelle et précisent que la proposition de règlement relatif à l’euro numérique doit fournir des règles claires – soumises à discussion et approbation législatives – sur le traitement des données à caractère personnel. Elle doit aussi garantir le niveau le plus élevé possible de protection des droits des personnes et les libertés fondamentales.

Les choix techniques de la BCE devront respecter la législation de l’Union en matière de protection des données, y compris les exigences de nécessité et de proportionnalité.

Constats et recommandations

 

L’avis conjoint insiste à plusieurs reprises sur le fait que la confiance du public impose un haut niveau de confidentialité et de respect de la vie privée. L’euro numérique doit exister conjointement au paiement en espèces, et ne pas le remplacer.

Les efforts déployés pour établir les finalités des traitements de données à caractère personnel (DCP) par les différents acteurs impliqués dans l’émission et la distribution de l’euro numérique, et les catégories de DCP concernées sont salués. Toutefois, l’avis souligne le manque de précisions quant aux bases légales appliquées aux traitements, la répartition des responsabilités en fonction des acteurs intervenant dans les traitements et des catégories de données personnelles traitées..

Bien que l’EDPB et l’EDPS se félicitent que la distribution soit effectuée de manière décentralisée, elles attendent que les modalités de distribution soient précisées dans le texte législatif final. Elles restent également sur leur fin quant aux précisions sur la manière dont les données personnelles seront traitées par les Prestataires de Services de Paiement (PSP), ainsi que sur le traitement de données personnelles effectué pour faire respecter les limites de frais éventuellement demandés par les PSP. Seront-ils responsables conjoints des traitements de données à caractère personnel occasionnés ? Seront-ils sous-traitants ?

Concernant l’infrastructure de règlement fournie et gérée par la BCE, la proposition devrait inclure une obligation contraignante qui garantirait la pseudonymisation de toutes les données de transactions vis-à-vis de la BCE et des banques centrales nationales.

Deux modalités d’euro numérique sont proposées : une modalité en ligne et une modalité hors ligne. La proposition de la BCE prévoit l’enregistrement de toutes les transactions en ligne, quel que soit leur montant. L’avis conjoint recommande un niveau élevé de confidentialité pour les paiements numériques en euros hors ligne (comme l’envisage la proposition) mais aussi pour les paiements en ligne de faibles montants. La BCE semble une nouvelle fois tentée par le traçage systématique des transactions, ce qui n’est pas du goût des autorités.

Les dispositions relatives au mécanisme de détection et de prévention de la fraude par les PSP manquent de visibilité : la question se pose sur les tâches qui seront exécutées par la BCE pour superviser cette lutte exercée par les PSP, ni quelles tâches et quels traitements de données afférents seront exécutés par les PSP. L’EDPB et l’EDPS demandent de démontrer la nécessité d’un tel mécanisme et de prévoir des règles claires et précises, régissant sa portée et son application. À défaut, des mesures moins intrusives du point de vue de la protection des données devraient être introduites, accompagnées de garanties appropriées. L’indépendance de la BCE ne l’exonère pas du respect des exigences de nécessité et de proportionnalité, et la lutte contre la fraude ne peut pas servir d’excuse à une surveillance sans limite.

Ils demandent également d’inclure une référence explicite au cadre juridique applicable en matière de cybersécurité dans le préambule de la proposition, du fait des risques auxquels l’euro numérique pourrait être confronté.

L’EDPB et l’EDPS regrettent que la proposition ait écarté l’approche d’une « confidentialité sélective » pour les paiements en ligne de faible montant et recommandent d’étendre le régime spécifique à la modalité hors ligne pour les transactions de faible valeur effectuées en ligne, en établissant un seuil en dessous duquel il n’y aurait pas de traçage des transactions à des fins de Lutte contre le Blanchiment des Capitaux et le Financement du Terrorisme (LCB-FT). Au même titre que pour la lutte contre la fraude, les traitements liés à la LCB-FT doivent être proportionnés et leur nécessité doit être démontrée. Ils ne doivent pas servir d’excuse au traçage systématique ou à la surveillance généralisée.

La lettre de l’EDPB aux institutions européennes du 18 juin 2021 pointait déjà le risque de suivi général des transactions, le risque d’identification excessive des citoyens et le risque pour la sécurité des données de paiement. Le comité préconisait de concevoir l’euro numérique en s’appuyant sur l’utilisation des espèces afin de trouver le juste équilibre entre la vie privée et la protection des données d’une part, et la LCB-FT d’autre part. Tout accès aux transactions par la BCE ou les banques centrales nationales devrait être évité.

Le Comité et le Contrôleur rappellent l’obligation pour tous les responsables de traitements et responsables conjoints de traitements de données personnelles liés à l’euro numérique, de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) du fait des exigences de  l’article 35 du RGPD. La proposition de règlement devrait rappeler l’obligation de protection de la vie privée et des données personnelles dès la conception et par défaut, lors de l’établissement de la conception opérationnelle et des choix technologiques.

L’EDPB et l’EDPS reconnaissent que la proposition prévoit des contraintes spécifiques pour les responsables de traitement et des garanties pour les personnes concernées, comme l’interdiction de conserver des données de transaction hors ligne par les PSP, les banques centrales ou la BCE. Ils saluent également l’obligation pour la BCE de consulter le Contrôleur Européen de la Protection des Données (EDPS) avant l’adoption de mesures, règles et normes détaillées susceptibles d’avoir une incidence sur la protection des données.

D’autres remarques, plus spécifiques figurent également dans l’avis conjoint comme :

  • La nécessité de bien définir les « appareils mobiles » et les « dispositifs de stockage locaux »,
  • La nécessité d’expliciter la notion de pseudonymisation sous-entendue par les notions « d’identifiant utilisateur » et « d’alias utilisateur »,
  • L’importance de définir l’expression « numéro de compte de paiement numérique en euros » pour clarifier les différents types d’identifiants mentionnés dans la proposition,
  • Le besoin de clarifier les traitements effectués dans le cadre de la distribution de l’euro numérique à des personnes physiques ou morales qui ne résident pas ou ne sont pas établies dans les États membres.

L’avis conjoint fournit aussi des recommandations très détaillées quant aux spécificités des traitements de DCP liés au couplage d’un compte en euro numérique et d’un compte bancaire traditionnel. Il en est de même quant à l’utilisation de l’euro numérique comme réserve de valeur et comme moyen de paiement, ses caractéristiques techniques, aux opérations de règlement, au mécanisme général de détection et prévention de la fraude, à la cybersécurité et à la résilience opérationnelle, et bien sûr à la LCB-FT.

Si l’avis semble réitérer – en vain – des consignes et recommandations déjà formulées à plusieurs reprises par l’EDPB depuis 2020, l’alignement du Contrôleur Européen de la Protection des Données (EDPS) devrait favoriser la prise en compte de ces mesures. L’intervention du « gendarme européen » rappelle ici à la BCE que le respect du RGPD est une obligation, y compris pour les institutions et organes de l’Union Européenne. Bon gré, mal gré, entendra-t-elle le message ?

Pour plus d’informations, RGPD-Experts vous invite à consulter l‘avis conjoint disponible (en anglais) sur le site du Comité Européen de la Protection des Données[5].

SP

 

[1] Article 25 du RGPD Protection des données dès la conception et protection des données par défaut : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25

[2]Lettre de l’EDPB aux institutions européennes : https://edpb.europa.eu/system/files/2021-07/edpb_letter_out_2021_0111-digitaleuro-toecb_en_1.pdf

[3] Site internet de la Banque Centrale Européenne :  https://www.ecb.europa.eu/press/pr/date/2021/html/ecb.pr210714~d99198ea23.fr.html

[4] Déclaration 04/2022 sur les choix de conception d’un euro numérique du point de vue de la vie privée et de la protection des données : https://edpb.europa.eu/system/files/2023-01/edpb_statement_20221010_digital_euro_fr.pdf

[5] Avis conjoint de l’EDPB et l’EDPS sur la proposition de règlement relatif à l’euro numérique : https://edpb.europa.eu/system/files/2023-10/edpb_edps_jointopinion_022023_digitaleuro_en.pdf

 

 

 

 

 

Télétravail et conformité : aberration ou une simple question d’organisation ?

RGPD-Experts vous souhaite une belle rentrée !

 

Vous êtes employé et souhaitez prendre connaissance des nombreux mails reçus pendant vos congés depuis votre salon, pour fuir l’humour parfois douteux de vos collègues ou simplement mieux vous concentrer sur vos projets ? Vous êtes employeurs et souhaitez offrir un confort personnel à vos salariés en les laissant libres de planifier leurs journées de travail comme ils l’entendent ?

Quelles que soient vos motivations, vous êtes probablement nombreux à recourir au télétravail en ce retour de vacances.

Cette pratique, peu développée en France avant la crise sanitaire, s’est depuis généralisée et banalisée.

Cette forme d’organisation du travail induit, par définition, une manipulation à distance du patrimoine informationnel de l’entreprise. Le télétravail pose ainsi de nombreuses questions en termes de protection des données personnelles, c’est pourquoi il est essentiel que ses modalités de mise en œuvre soient rigoureusement encadrées, dans l’intérêt de tous.

ATTENTION – Tant qu’il détermine les finalités et moyens des traitements de données mis en œuvre par la société, l’employeur demeure « responsable de traitement » aux yeux de la loi. Le fait que les données soient exploitées voire stockées sur des équipements situés chez ses collaborateurs ne le décharge en aucun cas de sa responsabilité en cas non-conformité !

Conformité lors de l’instauration du télétravail

 

Le recours au télétravail doit, dans les entreprises privées, faire l’objet d’un accord formalisé avec l’employeur.

Au-delà d’un accord sur le principe même de ce travail en distanciel, nous vous conseillons de formaliser aussi les conditions précises de sa mise en œuvre, en concertation si possible avec les représentants du personnel.

Deux options s’ouvrent alors au responsable de traitement pour permettre aux membres de l’organisme de continuer à poursuivre leurs missions de chez eux :

Soit il décide que le personnel ne pourra travailler que sur des outils fournis à cet effet, dédiés à leur activité professionnelle et paramétrés par la société (ordinateurs, tablettes, téléphones voire box Internet) ;

Soit il les autorise à utiliser leurs terminaux personnels à des fins professionnelles, ce que l’on appelle plus communément le « BYOD » (pour l’anglais « Bring Your Own Device » ou, selon l’acronyme français « AVEC », « Apportez Votre Équipement personnel de Communication »).

Si cette solution apparaît souvent plus facile et moins coûteuse à mettre en œuvre pour les employeurs, elle présente un risque plus élevé en termes de protection des données personnelles.

Dans tous les cas, il est essentiel que l’organisme adopte une CHARTE INFORMATIQUE spécifique au télétravail, et accomplisse les démarches nécessaires pour que ce document acquiert une valeur contraignante.

À la fois outil d’information et de prévention, la charte informatique recense les bonnes pratiques devant être adoptées par les utilisateurs du réseau et du parc informatique de l’organisme, afin de se prémunir de toute difficulté. Ce document fait ainsi des collaborateurs des acteurs essentiels de la « culture de sécurité » de l’entreprise.

Nous vous incitons aussi, et surtout, à mener des ACTIONS DE SENSIBILISATION auprès de vos collaborateurs, pour leur expliquer l’intérêt de ces consignes de sécurité (sessions de formations, documentation disponible sur l’Intranet de l’entité, opérations de communication régulières (envoi de newsletters à ce sujet, réunions d’information, guides pratiques…).

 

Conformité pendant le télétravail

 

Que les membres de votre organisme télétravaillent depuis leurs propres appareils ou non, nous vous recommandons d’être vigilants sur la configuration de ces terminaux, par eux ou par vous. Des gestes simples participent à la protection des données personnelles de l’entreprise, tels que :

SUR LES POSTES DE TRAVAIL

  • Cloisonner les espaces de travail (créer des comptes distincts pros/persos, mettre en place des habilitations pour limiter l’accès à chaque espace aux personnels concernés, etc.);
  • Installer un antivirus et un pare-feu ;
  • Faire les mises à jour des systèmes d’exploitation proposées ainsi que des sauvegardes régulières, de préférence sur les infrastructures de l’entreprise et non des appareils privés.

POUR LES CONNEXIONS & COMMUNICATIONS

  • Limiter les besoins de connexion à Internet (notamment en recourant à un VPN) et, à défaut, configurer les Box Wifi en conséquence (supprimer les accès partagés et réseaux invités, mettre un mot de passe fort de connexion, activer la Wi-Fi en chiffrement WPA et non WPS, etc.);
  • Ne pas transmettre des données via des espaces de stockage collaboratifs ou publics (type « WeTransfer », ou via Internet) ;
  • Utiliser des moyens de communication chiffrés de bout en bout, protégés par des codes d’accès et, si nécessaire, envoyer les clés de déchiffrement à votre interlocuteur via un canal de communication distinct (exemple: code de connexion à une application transmis par SMS par exemple) ;
  • Ne télécharger et n’utiliser que des interfaces autorisées par l’entreprise ;
  • Sensibiliser les collaborateurs pour identifier et éviter les tentatives d’hameçonnage.
L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Exemple : il doit inciter ses collaborateurs à utiliser des systèmes de visioconférence de confiance (développés et hébergés dans un pays soumis au Règlement Général sur la Protection des Données), et poser des instructions claires pour les protéger (possibilité de ne pas démarrer la vidéo, option de floutage automatique de l’arrière-plan, etc.).

S’il peut être tentant pour l’employeur de vérifier que les membres du personnel sont pleinement dévoués à leurs tâches, de chez eux, il lui est formellement interdit de recourir à des méthodes de surveillance constante des salariés (mise en place d’une webcam ou d’un partage d’écran permanent, obligation de pointage régulier, consultation d’un historique de connexion détaillé…).

Pour mémoire, les dispositifs de contrôle ponctuels des employés ne peuvent être instaurés que s’ils sont proportionnés et adéquats au but poursuivi, après que les salariés ont été informés de leur installation, et avoir consulté les représentants du personnel à ce sujet.

Remarque : ces éventuelles méthodes de contrôle constituent des traitements de données devant figurer sur le registre des activités de traitement de l’organisme. Compte tenu du risque qu’ils présentent pour les droits des personnes concernées, ceux-ci doivent par ailleurs, pour la plupart, faire l’objet d’une Analyse d’Impact relative à la Protection des Données (AIPD).

A supposer d’ailleurs qu’il faille contrôler le travail effectué à distance par les salariés.

D’après Pôle Emploi, reprenant une étude réalisée par le cabinet Gartner, 55% des salariés en télétravail afficheraient un niveau d’efficacité élevé[1].

 

Conformité au-delà du télétravail

 

Puisqu’il suppose une prise de fonction à domicile, le télétravail est susceptible de brouiller la frontière entre la vie personnelle et la vie professionnelle des télétravailleurs.

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

 

Suppression des temps de transport, gain de flexibilité et meilleure efficacité : le télétravail présente des avantages indéniables tant pour les salariés que les entreprises. Mais, en distanciel, l’employeur perd une certaine maîtrise physique et juridique des terminaux de ses salariés.

S’il est mal encadré, le télétravail peut ainsi être à l’origine de nombreuses dérives, toutes préjudiciables à l’entreprise : failles de sécurité, violation des données, atteinte aux droits et libertés individuels des collaborateurs, etc. Outre les risques d’une condamnation administrative voire pénale de l’organisme en cas de manquement à ses obligations légales en matière de protection des données personnelles, les enjeux sont considérables pour la réputation de l’organisme, à l’heure où la conformité des sociétés participe de leur bonne image de marque.

De la rédaction d’une charte informatique contraignante à la formation de vos collaborateurs, en passant par un rappel des points de vigilance à retenir pour organiser le travail à distance de vos équipes : les professionnels de RGPD-Experts sont naturellement à votre disposition pour vous guider dans la mise en place d’un télétravail conforme.

Pour plus de renseignements, rendez-vous sur : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

 

[1] Pôle Emploi, « Télétravail : où en est-t-on », 28 déc. 2022, https://www.pole-emploi.org/accueil/actualites/2022/teletravail–ou-en-est-on.html?type=article#:~:text=Cette%20dynamique%20vertueuse%20renforce%20aussi,36%20%25%20des%20salari%C3%A9s%20en%20pr%C3%A9sentiel.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

 

Durées de conservation : un rapide topo pour vous faire gagner du temps

……mais aussi de l’énergie, de l’argent, et en conformité !

 

Affaires « Doctissimo », « Obeeqo International », « Greffes des tribunaux de commerce »… ces dernières amendes prononcées par la CNIL [1] ont en commun de toutes sanctionner au moins un même manquement aux règles applicables en matière de protection des données : celles relatives aux durées de conservation.

Pour éviter d’être, vous aussi, un jour rappelé à l’ordre par la Commission, il est temps de faire le point sur ce sujet délicat.

RGPD-Experts vous explique tout ce qu’il faut savoir sur les durées de conservation, en un temps record

Dans un premier temps : rappel du cadre légal

 

Le Règlement Général sur la Protection des Données Personnelles (RGPD) impose aux organismes de ne pas conserver éternellement les données personnelles qu’ils collectent.

La difficulté de ce texte réside toutefois dans son silence. En effet, le règlement européen ne détermine pas de délais fixes de conservation, qui sont laissés à l’appréciation des responsables de traitement.

Article 5(1)(e) RGPD : «Les données à caractère personnel doivent être : […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Cette souplesse de la législation a pour avantage d’être pragmatique. Elle permet aux organismes d’adapter ces durées de conservation à leurs besoins réels, en fonction de l’objectif poursuivi par le recueil des données personnelles.

Mais cette flexibilité n’est pas sans risque, puisqu’il appartiendra au responsable de traitement de justifier son choix en cas de contrôle, conformément au principe « d’accountability »[2]. Pas question pour la CNIL de les laisser faire la pluie et le beau temps !

Dans un deuxième temps : retour sur la notion de durée de conservation

 

La plupart du temps, il n’existe pas une, mais des durées de conservation. Et oui, plusieurs durées peuvent s’appliquer concomitamment selon :

  • Le type de données concernées

Exemple : une carte de fidélité contient plusieurs catégories de données personnelles, qui peuvent ne pas se voir appliquer les mêmes durées de conservation (numéro de carte de fidélité, identité de la personne, etc.).

  • L’étape du cycle de vie des données concernée

Une fois recueillie, une donnée personnelle peut être conservée sous différentes formes :

PHASE 1 : La base active 

Lorsqu’elle sert encore, de manière courante et quotidienne, à accomplir la mission pour laquelle elle a été collectée.

Exemple : l’identité, les coordonnées et les informations sur le temps de travail d’un salarié, afin de lui adresser chaque mois sa fiche de paie. 

En pratique, ces renseignements sont conservés de manière à être facilement accessibles dans l’environnement de travail des services ayant besoin d’en connaître, tels que dans des fichiers sécurisés sur des postes de travail.

Les données doivent en théorie être effacées dès qu’elles ont permis d’atteindre l’objectif initialement poursuivi. Ce n’est que par exception qu’elles peuvent être gardées plus longtemps par l’organisme.

PHASE 2 : L’archivage intermédiaire 

Cet archivage intervient lorsque la donnée n’est plus utile pour poursuivre le but pour lequel elle avait été recueillie, mais qu’entre-temps sa conservation présente encore un intérêt pour le responsable de traitement (pour des raisons administratives ou lui permettre de répondre à ses obligations légales, notamment).

Exemple : les indications portées sur le registre unique du personnel doivent être conservées pendant 5 ans après le départ du salarié, conformément à l’art. R.1221-26 du Code du travail

RAPPEL: le responsable de traitement doit prendre les mesures nécessaires pour assurer la protection des données personnelles qu’il exploite. En archivage intermédiaire, il doit donc s’assurer que ces informations sont stockées de manière sécurisée et qu’elles ne peuvent être consultées que de manière ponctuelle, pour des motifs spécifiques et par des personnes spécialement habilitées.

PHASE 3 : éventuellement en archivage définitif

Exceptionnellement, certaines données peuvent être conservées sans limitation de durée alors même qu’elles ont déjà fait leur temps. Tel est le cas d’archives publiques, qui présentent un intérêt historique, scientifique ou statistique justifiant qu’elle ne fasse l’objet d’aucune destruction[3].

En matière de durées de conservation comme ailleurs, chaque chose en son temps donc !

Dans un dernier temps : comment déterminer la durée de conservation d’une donnée ?

S’il appartient au responsable de traitements de déterminer la durée de conservation qu’il souhaite appliquer aux données qu’il manipule, RGPD-Experts vous livre le raisonnement à tenir pour obtenir en temps utiles des durées convenables de conservation :

Rechercher l’existence d’un texte ou d’une législation imposant un délai de conservation spécifique

Exemple : les images de vidéoprotection ne peuvent en principe pas être conservées plus d’un mois. (art. L252-3 du Code de la sécurité intérieure).

Les délais de prescription d’éventuelles actions en justice peuvent également être des indicateurs précieux pour déterminer les durées de conservations, lorsque les informations sont conservées pour se prémunir d’un éventuel contentieux ou se défendre en cas d’action en justice.

 

À défaut, rechercher l’existence de normes ou d’une doctrine de la CNIL

En l’absence de textes légaux, il est aussi possible de se référer aux anciennes normes simplifiées ou autorisations uniques de la Commission, voire aux référentiels sectoriels qu’elle publie et à ses recommandations.

Exemple : la CNIL estime que les CV recueillis lors de recrutements peuvent être conservés pour une durée maximale de 2 ans avec l’accord de la personne, pour que l’organisme puisse recontacter les profils qui l’intéressent si besoin.

À défaut, seule la finalité de la collecte de la donnée personnelle permet de choisir un délai de conservation adéquat

De manière générale, plus les données sont sensibles, moins il est toléré de les conserver longtemps.

Soyez vigilant : la CNIL ne vérifie pas uniquement que le responsable de traitement a bien fixé des durées de conservation théoriques selon les catégories de données traitées. Elle contrôle aussi et surtout la mise en œuvre concrète de ces mesures, à savoir l’archivage progressif et sécurisé des données jusqu’à leur suppression totale, dans les délais impartis.

* * *

Depuis le temps que le RGPD est entré en vigueur, nous ne vous ferons pas l’offense de vous rappeler que bien d’autres règles encadrent la gestion des durées de conservation de vos données, et que celles-ci doivent entre autres :

  • Être portées à la connaissance des personnes concernées ;
  • Mentionnées dans le registre des activités de traitement de l’organisme et votre documentation de conformité ;
  • Appliquées même dans l’hypothèse d’une sous-traitance des données, etc.

Il n’est pas inutile de refaire de temps en temps un point sur ses connaissances ! Si vous avez négligé ces règles de base de la protection des données au point de ne plus être certain de votre conformité, notre équipe d’experts vous consacrera tout le temps nécessaire pour vous former et vous accompagner dans vos démarches. Pour plus d’informations, rendez-vous sur notre site Internet : https://www.rgpd-experts.com/

L.H

[1]  La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2]  Pour rappel, ce principe sous-tend que vous vous conformiez aux règles applicables en matière de protection des données personnelles, mais aussi que vous soyez en capacité de démontrer de votre conformité en toutes occasions.

[3] La gestion de ces archives est régie par des dispositions spécifiques, prévues en particulier par le Code du patrimoine.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

 

 

 

 

 

 

 

Procédure de sanction de la CNIL

Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?

La Commission Nationale de l’Informatique et des Libertés[1] (CNIL) publie aujourd’hui presque quotidiennement l’annonce d’une nouvelle sanction prise contre un responsable de traitement fautif. Parmi elles, les décisions résultant d’une procédure simplifiée se multiplient.

MAIS QUELLE EST DONC CETTE PROCÉDURE ?

Depuis près d’un an, la CNIL dispose d’un outil supplémentaire pour sanctionner les responsables de traitement non conformes : la procédure simplifiée. Et pour cause, afin de faire face à l’afflux des plaintes reçues, l’autorité de contrôle n’a pas eu d’autres choix que de réformer ses méthodes répressives[2].

Il devenait en effet essentiel de simplifier la procédure de contrôle originellement suivie par la CNIL (dite « ordinaire ») pour lui permettre d’investiguer sur TOUS les manquements à la législation en vigueur en matière de protection des données personnelles, aussi minimes puissent-ils paraître.

C’est dans ce cadre qu’a été adopté l’article 22-1 de la loi Informatique et Libertés du 06 janvier 1978[3]. Cette nouvelle disposition assouplit les obligations imposées au gendarme français de la protection des données pour enquêter et éventuellement poursuivre les organismes manquant à leurs obligations légales.

L’autorité de contrôle ne souhaitait pas concentrer son temps, son énergie et ses moyens financiers à enquêter seulement sur les dossiers « graves », au risque d’assurer l’impunité de tous les autres organismes blâmables.

EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?

Si l’ouverture d’une procédure ordinaire ou simplifiée trouve généralement leur source dans des motifs identiques (plaintes, coopération, auto-saisine de la CNIL…), les modalités dans lesquelles se déroulent ces contrôles diffèrent.

  • Des situations moins complexes

La procédure simplifiée a vocation à être mise en œuvre dans les cas ne présentant aucune difficulté juridique ou factuelle (aucun débat subsistant sur les questions de fait et de droit, décisions similaires déjà rendues par la CNIL, affaire relevant d’une jurisprudence établie, etc.). Le dossier doit être simple comme bonjour.

Il faut également que la gravité des faits soit relative, pour que la ou les réponse(s) appropriée(s) à ces violations puisse(nt) faire partie des trois mesures pouvant être ordonnées dans le cadre d’une procédure simplifiée.

  • Des sanctions limitées

Lors d’une procédure simplifiée, l’autorité régulatrice ne peut pas faire usage du large panel de sanctions dont elle dispose à l’occasion des procédures ordinaires. Elle ne peut prononcer que :

  • Un rappel à l’ordre ;
  • ET / OU une amende administrative d’un montant maximum de 20 000 € ;
  • AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.

Si ces sanctions ne peuvent pas être rendues publiques, contrairement à celles prononcées à l’issue d’une procédure ordinaire, la CNIL peut se déplacer sur site pour réaliser ses actes d’enquête. Difficile, dans ces conditions, de garder cette procédure simplifiée parfaitement secrète. Les responsables de traitement ne sont donc pas à l’abri que ces investigations portent malgré tout significativement atteinte à leur réputation…

« Procédure simplifiée » ne rime pas avec « simple contrôle » Les conséquences pour l’organisme ne sont pas à prendre à la légère ! La perte de confiance du public est économiquement plus risquée encore que les sanctions administratives encourues.

  • Des organes répressifs plus faciles à mobiliser

Pour initier la procédure simplifiée, la Présidente de la Commission doit saisir à cet effet le Président de la formation restreinte[4], qui désignera alors à son tour un agent de la CNIL chargé d’instruire le dossier.

Rien n’oblige la Présidente de la CNIL à recourir à une procédure simplifiée. Il s’agit d’une décision discrétionnaire de sa part, si le dossier apparaît pouvoir être examiné selon ces modalités. De la même manière, le Président de la formation restreinte peut à tout moment choisir de renvoyer l’affaire vers une procédure de sanction ordinaire.

L’agent de la CNIL désigné devra, après avoir éventuellement entendu le mis en cause ou procédé à des vérifications complémentaires, rédiger un rapport sur les manquements reprochés à l’organisme. Il doit, si des violations sont constatées lors de la clôture des investigations, proposer une ou plusieurs des trois mesures de sanctions possibles.

Contrairement à la procédure ordinaire, la procédure simplifiée est en principe écrite, ce qui implique qu’il ne se tient normalement aucune séance publique pour débattre des faits.

Le Président de la formation restreinte ou un membre de la CNIL désigné par lui statue purement et simplement, seul, sur les documents mis à sa disposition – là où l’ensemble des membres de la formation restreinte délibère sur le cas qui leur est soumis dans la procédure ordinaire. Un débat (non public) ne sera organisé que si l’organise mis en cause la demande. Ce dernier pourra alors présenter oralement ses observations, uniquement devant le rapporteur et le Président de la formation restreinte.

  • Des étapes allégées, mais des droits identiques

Cette simplification du déroulement de la procédure ne doit pas conduire à une réduction des prérogatives reconnues aux responsables de traitement mis en cause. Ceux-ci disposent notamment :

  • Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;
  • Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.
  • Du même droit, d’être assisté et/ou représenté par un avocat.

QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?

La CNIL a déclaré n’avoir eu recours qu’à quatre reprises à la procédure simplifiée en 2022[5]. Nous attirons votre attention sur le fait que ce chiffre relativement faible ne révèle pas un désintérêt de l’autorité régulatrice pour cette procédure, bien au contraire.

Pour rappel, la procédure simplifiée ne peut être mise en œuvre que depuis le mois d’avril 2022. Compte tenu des délais d’investigation et d’échanges d’observations, les premières décisions rendues dans ce cadre commencent donc seulement à être publiées. Rien qu’entre les mois de janvier et mars 2023, la CNIL a ainsi émis pas moins de sept nouvelles sanctions prises dans ce cadre.

QUANDQUIQUOIPOURQUOI
Le 23/01/2023Société de conseil en systèmes et logiciels informatiques.Amende de 5 000 € et injonctionViolation des règles applicables en matière de : – Coopération avec la CNIL ; – Consentement (cookies) et d’information des personnes ; – Droit à l’effacement ; – Registre des activités de traitement ; – Mesures de sécurité.
Le 08/02/2023Commune.Amende de 5 000 € et injonction.Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Désignation obligatoire d’un délégué à la protection des données.
Le 08/02/2023Médecin généraliste.Amende de 3 000 € et injonction.Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Droit d’accès des personnes concernées.
Le 08/02/2023Société exerçant une activité de détail d’habillement en magasin spécialiséAmende de 10 000 € et injonction.Défaut de coopération avec la CNIL.
Le 03/03/2023Société exerçant une activité de sécurité privée.Amende de 15 000 €.Violation des règles applicables en matière de : – Minimisation des données ; – Information des personnes ; – Registre des activités de traitement.
Le 28/03/2023Société de programmation informatique.Amende de 20 000 €.Violation des règles applicables en matière de : – Encadrement des relations entre le responsable de traitement et le sous-traitant ; – Mesures de sécurité.
Le 28/03/2023Société de marketing.Amende de 10 000 € et injonction.Défaut de coopération avec la CNIL.
Le 28/03/2023Société de marketing.Amende de 10 000 € et injonction.Défaut de coopération avec la CNIL.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Nous vous parlions déjà de la réforme des procédures répressives de la CNIL dans un précédent article sur le sujet, disponible à l’adresse suivante : https://www.rgpd-experts.com/cnil-nouvelles-sanctions-et-nouvelles-procedures/

[3] Issu de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, et de son décret d’application n°2022-517 du 08 avril 2022.

[4] La formation restreinte était habituellement l’organe répressif de la CNIL, jusqu’à l’adoption de la procédure simplifiée. Composée de 5 membres et d’un Président distinct de celui de la CNIL, elle demeure l’organe répressif compétent si l’affaire suit la procédure ordinaire.

[5] « Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022 », 31 janvier 2023 : https://www.cnil.fr/fr/procedure-de-sanction-simplifiee-la-cnil-presente-son-premier-bilan-2022

 

 

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Designs trompeurs

Un réseau social distrayant, ça trompe énormément ?

Le 14 février 2023, le Comité européen de la Protection des Données[1] a adopté trois nouvelles lignes directrices, dont l’une vise à éviter l’utilisation de « designs trompeurs » sur les réseaux sociaux[2].

Le sujet vous intéresse, mais vous n’êtes pas certain d’avoir compris l’essentiel de ces 74 pages disponibles, pour l’heure, exclusivement en anglais ? RGPD-Experts a analysé pour vous les points majeurs à retenir de ces lignes directrices !

Ces préconisations ne s’arrêtent pas aux seuls réseaux sociaux, et sont bien évidemment transposables à toutes les autres plateformes (site Internet, applications mobiles, etc.).

Les « designs trompeurs » : késako ?

Le CEPD entend par l’expression « designs trompeurs » les techniques de conception d’une interface ayant pour objet ou pour effet d’influencer le comportement d’un utilisateur. Plus généralement, il s’agit de tous les procédés susceptibles d’inciter l’internaute à prendre des décisions non désirées ou inconscientes à son détriment – ou en faveur du réseau social – concernant la protection de ses données personnelles.

Ces méthodes sont multiples, et empêchent les internautes d’être véritablement acteurs de la protection de leurs données personnelles.

Les « designs trompeurs » : comment les reconnaître ?

Sans le savoir, nous sommes confrontés en permanence à ces designs pourtant prohibés. Le CEPD les classe selon différentes catégories :

  • Selon leurs effets sur le comportement de l’utilisateur : surcharge d’informations, utilisation des émotions, obstruction, maintien des personnes concernées dans une incertitude sur les pratiques du réseau et sur leurs droits en matière de protection des données, etc.
  • Selon leurs types : certains designs sont trompeurs dans leur contenu (formulation de phrase équivoque, déclarations, sorties de leur contexte, etc.), d’autres le sont dans leur forme (couleurs de l’interface, typographie, etc.).

EXEMPLE DE DESIGNS TROMPEURS

Effets sur les comportement de l’utilisateurMoyen trompeur utilisé par le responsable de traitementTypes de designs trompeursExemples
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données. L’incitation en continu : elle consiste à pousser l’internaute à céder aux demandes du réseau en lui répétant de donner plus de données ou à consentir à l’utilisation de ses données à des fins particulières.Contenu trompeurL’apparition permanente de « pop-up » en ce sens pendant la lecture d’un article.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.L’excès d’options : le responsable de traitement offre tellement de possibilités à la personne concernée pour configurer ses préférences / faire ses choix pour gérer ses données que celle-ci finit par abandonner sa démarche.Contenu trompeurNe pas proposer un bouton « tout refuser » lorsque l’utilisateur doit choisir pour quelles finalités il accepte ou non le dépôt de cookies sur son terminal. Las de devoir décocher les consentements donnés par défaut, finalité par finalité, celui-ci pourrait être tenté de finalement accepter la présélection faite pour gagner du temps.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.Le labyrinthe : l’internaute peine à obtenir une information / faire une action, car il est contraint de passer par de nombreuses étapes pour y arriver, sans disposer d’une vision globale du schéma qu’il doit suivre pour y parvenir.Interface trompeuseSelon les droits qu’il veut exercer, l’internaute trouve les informations pertinentes à ce sujet dans la « foire aux questions » du site, puis sur son compte personnel, lesquels renvoient ensuite selon les cas à la politique de protection des données ou à un formulaire spécifique.
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.Le « pilotage » émotionnel : des éléments visuels (couleurs, images, style) sont utilisés pour rendre positives certaines actions de l’internaute pourtant préjudiciables ou, à l’inverse, lui faire peur / le culpabiliser à tort pour l’encourager à agir dans le sens voulu par l’organisme.Contenu trompeurUn réseau social propose à l’internaute de partager sa localisation sous ces termes : « Hey toi ! Tu te sens seul aujourd’hui ? Envie de voir du monde ? Partage ta localisation et regarde si tes amis sont à proximité ! »
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.La dissimulation de renseignements « à la vue de tous » : les informations sont bien communiquées, mais en réalité cachées aux utilisateurs grâce à diverses méthodes.Interface trompeuseLe lien permettant d’accéder à la politique de protection des données de l’organisme est accessible via un lien écrit en tout petit, de couleur jaune pâle sur une page de fond blanc.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les longueurs excessives : le responsable de traitement impose à l’utilisateur un nombre important et inutile d’étapes pour activer certaines options, ou détaille inutilement certaines informations pour l’embrouiller.Interface trompeuseUn individu tente de se désabonner d’une newsletter. Afin de valider sa demande, l’organisme lui demande : 1) De cliquer sur un 1er lien, 2) Puis de renseigner son adresse mail, 3) De confirmer après son souhait grâce au courriel envoyé, 4) D’indiquer pourquoi il souhaite se désabonner, 5) D’évaluer enfin le service/commerçant
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les actes trompeurs : la divergence entre l’information donnée et l’acte pour y parvenir est susceptible de duper l’utilisateur.Interface trompeuseLors de la validation d’une commande sur Internet, le client a été conduit sans le savoir vers un site d’épargne en ligne de type Paypal, Lydia, etc. Pensant remplir un formulaire permettant la livraison de son achat, il est en réalité en train d’ouvrir un compte sur ces applications bancaires.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les impasses : les utilisateurs ne peuvent techniquement pas finaliser leurs actions Interface trompeuseLorsque l’internaute clique sur le lien destiné à retirer le consentement qu’il avait initialement donné à l’utilisation de ses données, il est redirigé vers une page inexistante.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.Les informations contradictoiresContenu trompeurIl est indiqué tour à tour à l’internaute d’exercer ses droits directement auprès du Délégué à la protection des données, puis auprès d’une personne référente ayant d’autres coordonnées.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.Les formulations ambiguësContenu trompeurLa politique de protection des données de l’organisme mentionne : « Nous utilisons vos données pour nous permettre de poursuivre nos différentes activités. Nous ne les conservons pas plus que le temps strictement nécessaire à cela ». Ces termes vagues et génériques ne permettent pas à l’internaute de comprendre l’utilisation réellement faite de ses données.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les « ruptures » de langage Contenu trompeurAlors que toute l’application est en français, la politique de protection des données de l’organisme est en anglais.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les interfaces incohérentes : la présentation de l’application ou du site n’est pas conforme aux attentes raisonnables de l’utilisateur, ce qui est source de confusion.Contenu et interface trompeur Les options de l’internaute pour configurer ses données sont toujours présentées de la moins protectrice à la plus protectrice, sauf à la dernière question. Dans ces conditions, le dernier choix de l’utilisateur pourrait être faussé s’il répond par réflexe selon la même logique que celle appliquée jusqu’alors.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les décontextualisations : l’information cherchée par l’internaute ne peut pas être trouvée dans un endroit intuitif pour lui. Interface trompeuseLes options de configuration des préférences de l’internaute en matière de protection des données sont accessibles dans la section « mes éléments », ce que l’intitulé ne permet pas de deviner.
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles. Le détournement d’attention : il s’agit de mettre en concurrence les informations relatives à la protection des données avec d’autres informations, afin de dévier l’internaute de ces questions.Interface trompeuseUne bannière affiche la politique du réseau social en matière de cookies ainsi : « Nous avons créé pour vous la recette des meilleurs cookies jamais cuisinés. Pour connaître les ingrédients, cliquez sur ce lien : « xxx ». Notre site utilise lui aussi des cookies. Si vous voulez en savoir plus, cliquez ici : « yyy ». »
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.Les suggestions trompeuses : ces procédés visent à instaurer une divergence entre ce que l’utilisateur veut et ce qu’il peut obtenir, afin de le décourager dans ses actions.Interface trompeuseDemander à l’utilisateur s’il veut rendre son profil : – Confidentiel – Accessible à ses amis seulement ; – Ou public ; Tout en pré cochant et mettant en évidence l’option la plus défavorable pour la protection de ses données personnelles., à savoir « public ».

Les « designs trompeurs » : pourquoi les éviter ?

Ces « designs trompeurs » violent plusieurs dispositions fondamentales du RGPD, et notamment :

  • Le principe de loyauté (art. 5(1)(a) du RGPD) : les responsables de traitement ne doivent pas traiter les données personnelles d’une manière inattendue, préjudiciable, fallacieuse ou discriminatoire pour les personnes concernées.
  • Le principe de minimisation des données (art. 5(1)(b) RGPD) : les responsables de traitement ne peuvent pas collecter autant d’informations sur les internautes qu’ils ne le veulent. Ils sont tenus de limiter le recueil de ces renseignements aux seules données personnelles adéquates et pertinentes au regard des objectifs poursuivis par la collecte de ces données.
  • Le principe de transparence (art. 5(1)(a) & 12 RGPD): les informations relatives aux pratiques et règles applicables en matière de protection des données personnelles doivent être formulées de façon concise, intelligible et facilement accessible pour les personnes concernées.
  • Les règles relatives à la gestion du consentement (art. 4 & 7 RGPD) : lorsque la base légale justifiant le traitement de données est celle du consentement de l’internaute, le responsable de traitement doit mettre en œuvre les mesures appropriées pour s’assurer que le consentement de ce dernier a été donné par un acte positif clair, et qu’il remplit certaines conditions de validité (consentement libre, spécifique, éclairé et univoque). Il appartient également au responsable de traitement de prévoir des dispositifs permettant à l’utilisateur de revenir aisément et à tout moment sur son accord initial.
  • Les règles relatives aux droits des personnes concernées (art. 12 à 23 RGPD) : le responsable de traitement est non seulement tenu d’informer les internautes des droits dont ils disposent sur leurs données personnelles, mais il doit aussi leur permettre de les exercer sans obstacle (droit d’être informé, droit d’accès, de rectification, à l’effacement de leurs données, etc.).

Le CEPD insiste sur le fait que ces règles doivent être respectées durant toute l’expérience de l’utilisateur sur la plateforme, de la création de son compte personnel sur le réseau social à sa clôture, en passant par la configuration ultérieure de son profil et l’exercice de ses droits.

Les responsables de traitement des pages Web et applications non conformes engagent donc leur responsabilité s’ils recourent à ce type de présentations insidieuses.

ATTENTION : au-delà du RGPD, ces « designs trompeurs » peuvent violer d’autres législations, notamment issues du droit de la consommation

Les « designs trompeurs » : comment les bannir ?

Ces dérives sont répandues, sans que cela ne soit nécessairement voulu par les responsables de traitement.

Nous vous rappelons que le RGPD les oblige pourtant à respecter le principe cardinal du « privacy by design and by default », c’est-à-dire de développer leur plateforme de telle manière qu’elle soit protectrice des données personnelles de leurs utilisateurs dans leur conception même, sans que l’internaute n’ait besoin de configurer l’interface en ce sens.

Cette règle est particulièrement vraie lorsque le site ou l’application vise un public de personnes vulnérables à cet égard (enfants, personnes âgées, etc.).

Pour éviter ces écueils, il convient d’avoir à l’esprit quelques bonnes pratiques. Nous vous recommandons notamment :

– De prévoir plusieurs niveaux d’information (des renseignements « de base » aux plus approfondis), et d’utiliser des raccourcis / liens afin de rediriger les utilisateurs directement vers les informations qu’ils recherchent.

– De rédiger vos informations avec des termes clairs et reflétant la réalité de votre activité (politique de protection des données, politique de cookies, etc.).
Hiérarchisez vos propos et définissez les mots que vous employez. Utilisez des exemples pour expliquer vos pratiques, la façon dont les internautes peuvent gérer leurs données ou exercer leurs droits. Expliquez-leur aussi les conséquences de leurs actions. Bref : rendez la lecture de ces documents le plus facile et agréable possible !

– De concentrer en un seul endroit les options ouvertes aux utilisateurs pour gérer leurs préférences en matière de protection des données personnelles, et de les désigner avec des intitulés évidents (gestion du consentement, exercice des droits, etc.).

– D’utiliser un code couleur ou une typologie permettant aux internautes de distinguer clairement les éléments relatifs à la protection de leurs données personnelles des autres sujets.

– De mettre en évidence une seule et unique personne de contact à qui les internautes peuvent adresser leurs questions en matière de protection des données personnelles. – De notifier les internautes de tout changement de votre politique de protection de données.

– Si vous permettez à vos utilisateurs d’utiliser vos services via plusieurs terminaux (ordinateurs, téléphone, tablette), faites en sorte que la configuration du compte de l’internaute enregistrée sur l’un de ses équipements soit prise en compte sur les autres.

Cette liste n’est évidemment pas exhaustive. N’oubliez pas que votre site Internet ou votre application est la première façade de votre conformité !

Notre équipe de professionnels est à vos côtés pour vous aider à respecter vos obligations légales. Rendez-vous sur notre site pour plus d’informations : https://www.rgpd-experts.com/

[1] Cet organe européen indépendant a été institué par le RGPD lui-même. Il a pour mission de contribuer à l’application cohérente de la législation européenne en matière de protection des données. Il publie régulièrement des lignes directrices pour aider les responsables de traitement à comprendre et respecter leurs obligations légales.

[2] CEPD, Lignes directrices 03/2022 du 14 février 2023, « Designs trompeurs sur les interfaces des réseaux sociaux : comment les reconnaître et les éviter » : https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

L.H

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Utilisation des drones par les forces de l’ordre

Comment voir la vie d’en haut / vidéo ?

 

Afin de contrôler les manifestations organisées pour la fête du travail le 1er mai dernier, certaines villes ont autorisé les forces de l’ordre à s’aider de drones. Malgré les recours déposés par plusieurs associations contre ces décisions, les tribunaux administratifs ont généralement validé ces dispositifs de surveillance. Tel a notamment été le cas des drones survolant les cortèges de la capitale.

Pas de quoi en faire tout un cinéma ? Peut-être… Si ce n’est que cette méthode (presque) inédite sera probablement monnaie courante dans les prochaines années. Selon le Préfet de police de Paris, les survols des manifestations n’étaient en effet qu’un « test » pour la gestion sécuritaire des Jeux Olympiques de Paris 2024[1].

FLASHBACK : la législation sur l’usage des drones par les forces de l’ordre

Durant le premier confinement, la Préfecture de police de Paris avait déjà utilisé des drones pour veiller au respect des règles instaurées dans le cadre de l’état d’urgence sanitaire. Le Conseil d’État avait toutefois suspendu cette décision, en ce qu’elle s’inscrivait en dehors de tout cadre juridique régissant la question[2].

 

La loi du 25 mai 2021 pour une sécurité globale préservant les libertés, récemment modifiée par la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, a permis de pallier ce vide juridique. Ces dispositions autorisent désormais certains services de maintien de l’ordre, de secours ou des douanes à recourir sous conditions à des « caméras installées sur des aéronefs, y compris sans personne à bord » – autrement dit des drones[3].

Durant ce processus législatif, la Commission Nationale de l’Informatique et des Libertés (CNIL) a eu l’occasion d’émettre plusieurs avis sur les modalités envisagées pour la mise en œuvre de ces appareils[4].

Mais l’application de ces textes était conditionnée à l’adoption d’un décret dédié, qui a finalement été adopté quelques semaines avant les manifestations du 1er mai, le 19 avril 2023[5].

 

 

L’intégration de cette nouvelle technologie dans les outils à disposition des forces de l’ordre n’est pas anodine compte tenu des risques qu’elle présente pour les droits et libertés des personnes concernées. Nous ne nous faisons pas de films : même les plus hautes instances le reconnaissent !

 

PAUSE : les risques liés à l’utilisation des drones par les forces de l’ordre

Interrogé sur la constitutionnalité de la loi du 24 janvier 2022, le Conseil Constitutionnel a souligné l’importance d’assortir l’utilisation de ces drones de garanties destinées à sauvegarder le droit au respect de la vie privée des citoyens français. Dans sa décision du 20 janvier 2022[6], il a rappelé la puissance de nuisance de ces appareils : « les drones sont capables de capter, en tout lieu, et sans que leur présence soit détectée, des images d’un nombre très important de personnes et de suivre leurs déplacements dans un vaste périmètre. ».

Afin d’éviter toutes dérives, le législateur a essayé de circonscrire l’utilisation de ces drones[7], notamment en :

  • Limitant les cas dans lesquels il est possible de les utiliser (en particulier pour la prévention d’actes de terrorisme, le secours aux personnes, assurer la sécurité des rassemblements dans des lieux publics, etc.) ;
  • Limitant les fonctionnalités de ces drones (les caméras ne peuvent capter aucun son – vivre le cinéma muet ! Elles ne peuvent pas non plus être équipées de dispositifs de traitements automatisés permettant une reconnaissance faciale, et ne doivent en principe jamais être orientées vers l’intérieur des domiciles privés, etc.) ;
  • Limitant dans le temps (les survols ne peuvent pas être permanents) et dans l’espace le recours à ces drones (en obligeant au préalable la délimitation d’une zone géographique d’intervention) ;
  • Conditionnant l’utilisation de ces drones à l’obtention d’une autorisation écrite et motivée du préfet;
  • Limitant la durée de conservation des images prises (en principe 7 jours maximum et 48 heures lorsqu’elles permettent exceptionnellement de visualiser l’intérieur de résidences privées, sauf à être transmises dans ces délais dans le cadre d’un signalement à l’autorité judiciaire)

 

 

PLAY : les recommandations de la CNIL

 

Déjà avant la promulgation de la loi, le Conseil constitutionnel avait émis plusieurs réserves sur sa constitutionnalité.

Quelques semaines avant l’adoption définitive du décret d’application du 19 avril 2023, la CNIL avait rendu un nouvel avis sur ces dispositions[8]. Contrairement aux précédents, cet avis a cette fois la valeur d’un acte réglementaire unique, ce qui signifie que les administrations souhaitant utiliser ces caméras devront, au préalable, formellement s’engager auprès de la Commission à respecter le cadre légal.

La délibération de la CNIL conforte malheureusement les craintes de l’équipe de RGPD-Experts : force est de constater qu’un flou certain demeure sur les conditions précises et pratiques d’utilisation de ces drones…

Alors que l’autorité régulatrice rappelle fréquemment aux responsables de traitement de ne pas recourir à des descriptifs génériques dans leurs documentations de conformité, la législation en vigueur est ici loin d’être limpide :

  • Ces appareils ne peuvent être utilisés que si cela est « strictement nécessaire à l’exercice des missions concernées et adapté au regard des circonstances de chaque intervention». Bien que le Conseil constitutionnel ait exigé de réserver l’usage des drones à « des cas précis et d’une particulière gravité », cette expression nébuleuse ne permet pas de savoir concrètement dans quelles situations ces mesures peuvent être déployées …
  • Selon quels critères distinguer les cas dans lesquels une simple captation des images en direct suffira, de celles dans lesquels un enregistrement s’imposera ?
  • Quelles sont en réalité les «circonstances d’intervention» justifiant que les drones puissent continuer à filmer, à titre exceptionnel, alors même que l’intérieur de domiciles privés serait visible ?
  • Comment les forces de l’ordre envisagent-elles d’informer les personnes concernées qu’elles sont susceptibles d’être filmées, ainsi que de leurs droits en matière de protection des données personnelles ? La CNIL incite le gouvernement à clarifier l’information du public en général, mais surtout des potentielles cibles des caméras, par l’instauration de dispositifs sonores ou physiques dans les périmètres couverts par les drones.
  • Comment s’assurer du respect des mesures de sécurité destinées à garantir l’anonymisation et l’intégrité des données collectées (chiffrement, horodatage et assignation d’un « tatouage numérique » des flux de vidéo, sécurisation des sauvegardes, etc.) ?

 

Nous espérons que ces questions sans réponses ne seront pas à l’origine d’un scénario catastrophe pour l’avenir, digne d’un film de science-fiction !

Si les ministères ont indiqué à l’autorité de contrôle qu’ils ne pouvaient pas préciser dans le décret les critères objectifs sur lesquels ils se fonderont pour respecter ces règles, compte tenu de la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées, ils certifient que ces explications seront rapportées plus en détail dans les doctrines d’emploi qu’ils envisagent d’adresser aux services concernés. Doctrines qui n’auront, elles, aucune valeur contraignante…

Nous n’en sommes donc qu’aux prémices de cette longue saga sur les questions soulevées par l’utilisation des drones par la police et la gendarmerie nationale en matière de protection des données personnelles.

La pratique et la jurisprudence à venir devront probablement combler les silences de la loi…

* * *

Vous aviez loupé des étapes de cette évolution juridique et voudriez rembobiner l’histoire ? Vous n’arrivez pas à suivre le cadre juridique changeant en matière de protection des données ? Suivre vos démarches de conformité est pour vous une véritable péripétie ? Vos connaissances mériteraient un replay ?

Nous vous invitons à prendre contact avec nos services pour plus de renseignements sur nos offres de formation, de solutions de conformité ou d’assistance RGPD : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] FranceInfo, « Drones pendant les manifestations du 1er mai », le 2 mai 2023 : https://www.francetvinfo.fr/faits-divers/police/drones-pendant-les-manifestations-du-1er-mai-une-sorte-de-test-en-vue-des-jeux-olympiques-de-2024-explique-le-prefet-de-police-de-paris_5802956.html

[2] Conseil d’État, juge des référés, 18 mai 2020, 440442.

[3] La loi vise également les dispositifs embarqués dans d’autres aéronefs (avions, hélicoptères, etc.). Pour rappel, des règles spécifiques encadrent l’utilisation des drones à titre privé. Elles diffèrent selon leur date de conception, leur catégorie et leur poids.

[4] Délibération n°2021-011 du 26 janvier 2021 et délibération n°2021-078 du 08 juillet 2021.

[5] Décret n°2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative.

[6] Conseil Constitutionnel, décision n°2021-834 du 20 janvier 2022, Communiqué de presse : https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2021-834-dc-du-20-janvier-2022-communique-de-presse

[7] Articles L242-1 et suivants du Code de la Sécurité intérieure.

[8] Délibération n°2023-027 du 16 mars 2023 portant avis sur un projet de décret portant application des articles L.242-1 et suivants du Code de la sécurité intérieure : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047465509

 

 

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

utilisation des applications récréatives

Utilisation des applications récréatives par les particuliers et les fonctionnaires :

Des instructions à double vitesse ?

 

Une rapide annonce aux grandes conséquences – Le 24 mars 2023, le gouvernement a interdit « sans délai » à tous les fonctionnaires de télécharger et de faire usage d’applications dites « récréatives » sur leurs téléphones professionnels[1].

Aucune interface n’est nommément visée. Cette mesure concernerait en réalité toutes les applications :

  • De « gaming » (Candy Crush, 2048, jeux d’échecs, le bon vieux Tetris, etc.);
  • De « streaming » (Netflix ou Amazon Prime Vidéo par exemple);
  • De divertissement en général (ce qui cible entre autres les réseaux sociaux tels qu’Instagram ou Snapchat).

 

Un engouement pour les applications récréatives en perte de vitesse ? – Ces consignes s’inscrivent dans le prolongement de nombreux autres avertissements à travers le monde.

Le 23 février 2023, la Commission européenne avait déjà enjoint à tous ses collaborateurs de supprimer l’application de partage de vidéos « TikTok » non seulement de leurs smartphones professionnels, mais aussi de leurs téléphones personnels si des informations relatives à leur travail y transitent[2].

Plusieurs états avaient également déjà pris des mesures similaires au sein de leurs gouvernements et administrations. Emboîtant le pas du Canada ou du Royaume-Uni, les Pays-Bas et la Norvège ont eux aussi récemment banni l’emploi de l’application de vidéos « TikTok » au sein de leurs collectivités.

Les législations identiques se multiplient à un rythme effréné, et les textes restreignant l’usage de ces applications de divertissement sont votés plus vite que la musique !

D’autres pays envisagent des réactions bien plus drastiques. Aux États-Unis, la question de l’interdiction pure et simple de TikTok est actuellement aux cœurs des débats[3].

Est-ce à dire que ces positions gouvernementales sont susceptibles d’apporter des solutions pérennes en termes de protection des données personnelles ? C’est vite dit !

Pour toute justification, le ministre de la Transformation et de la Fonction publique Monsieur Stanislas GUERINI a indiqué que :

« les applications récréatives ne présentent pas les niveaux de cybersécurité et de protection des données suffisant pour être déployées sur les équipements d’administrations. Ces applications peuvent donc constituer un risque sur la protection des données de ces administrations et de leurs agents publics. » .

Au-delà de la compromission des données personnelles des fonctionnaires, c’est en réalité des soupçons d’espionnage par Pékin via ces interfaces qui auraient incité le gouvernement à agir au plus vite.

Si TikTok a reconnu que ses salariés pouvaient accéder à distance depuis l’étranger aux données personnelles de ses utilisateurs, la maison mère de l’application « ByteDance » réfute les accusations portées à son encontre, selon lesquelles elle transmettrait ces informations au gouvernement chinois[4].

Des prises de position vite fait…bien fait ? – Si nos dirigeants sont inquiets pour eux, n’y a-t-il pas de raisons que les particuliers s’alarment eux aussi ? N’y a-t-il pas deux poids deux mesures dans ces instructions ?

La CNIL[5] s’est déjà penchée sur la conformité de certaines de ces applications récréatives. Le réseau social « TikTok » a ainsi fait l’objet de plusieurs condamnations, dont nous vous avions déjà parlé[6].

Mais ces sanctions visent des manquements précis et circonstanciés du Règlement Général sur la Protection des Données (RGPD), alors que les violations des règles applicables en la matière par ces différentes interfaces semblent multiples, et surtout structurelles.

Alors que l’article 58(2)(f) du RGPD prévoit la possibilité pour les autorités de contrôle d’imposer la limitation temporaire ou définitive voire l’interdiction d’un traitement de données, les décisions prises par les autorités régulatrices européennes sont chaque fois limitées, si ce n’est symbolique par rapport aux chiffres d’affaires réalisés par ces plateformes et le nombre de personnes concernées par le traitement de leurs données personnelles en Europe. 

Au-delà de ces sanctions radicales, les autorités de contrôle disposent de tout un panel de mesures correctrices destinées à sécuriser les données des internautes. Si les données des fonctionnaires sont menacées, celles des particuliers le sont sans nul doute tout autant…

La recherche d’un équilibre entre liberté d’expression et protection des données personnelles suggère l’instauration d’un temps de réflexion approfondi sur les enjeux générés par ces applications, et non de régler ces questions en deux temps, trois mouvements.

Si les personnes concernées peuvent en effet décider de continuer à utiliser ces applications malgré le risque qu’elles induisent pour le traitement de leurs données personnelles, c’est notamment à condition que leur consentement ait été donné en toute connaissance de cause. 

Or, il semblerait qu’il reste encore des flous à éclaircir sur ce sujet…

***

 

Chez RGPD-Experts, nous considérons que votre conformité est une question sérieuse à examiner attentivement, pour adapter au maximum les mesures applicables en matière de protection des données à la réalité de votre activité. Comme dit le proverbe : « Qui va vite, va loin ; qui va lentement va mieux » !

Notre équipe de professionnels vous accompagne pour accomplir avec vous un travail de fond, visant à identifier vos obligations légales selon les missions poursuivies par votre organisme, et à trouver les réponses pertinentes à y apporter. Ce travail d’analyse sera la clé de votre conformité, car cela bien connut : rien ne sert de courir, il faut partir à point.

Nous vous invitons à prendre contact avec nos services pour plus de renseignements sur nos offres de formation, de solutions de conformité ou d’assistance RGPD : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

 

L.H

 

[1] Communiqué de presse du 24 mars 2023 du Ministre de la Transformation et de la fonction publique : https://www.transformation.gouv.fr/files/presse/cp_interdiction_applications_recreatives_telephone_pro_agents.pdf

[2] Article d’actualité de Représentation en France du 23, février 2023 : https://france.representation.ec.europa.eu/informations/la-commission-renforce-sa-cybersecurite-et-suspend-lutilisation-de-tiktok-sur-les-appareils-de-son-2023-02-23_fr

[3] « Tiktok menacé d’interdiction aux États-Unis », Le Monde, 23 mars 2023 : https://www.lemonde.fr/economie/article/2023/03/23/tiktok-menace-d-interdiction-aux-etats-unis-veut-jouer-l-opinion-contre-les-gouvernements-occidentaux_6166709_3234.html

[4] Nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/transfer-de-donnees/

[5] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[6] Notamment à travers le post suivant : https://www.rgpd-experts.com/mauvaise-tactique-de-tiktok/

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

RGPD or not RGPD

Le RGPD : plus trop la tasse de thé des Anglais ?

 

En sortant de l’Union européenne (UE), le Royaume-Uni s’est soustrait du champ d’application de nombreuses législations européennes. Parmi elles figure notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de « Règlement Général sur la Protection des Données » (RGPD).

Débriefing : petits rappels historiques et légaux – Le Royaume-Uni s’est officiellement retiré de l’UE le 31 janvier 2020. S’est alors ouverte une période de transition d’un an, durant laquelle le pays est provisoirement resté soumis aux règles communautaires.

À partir du 31 décembre 2020, le sort réservé aux données personnelles traitées au Royaume-Uni ne devait donc en principe plus être régi par le RGPD en tant que tel. En effet, ce texte étant un règlement et non une directive, il a été directement applicable dans les États membres de l’UE dès son entrée en vigueur, sans que ceux-ci aient eu besoin d’en retranscrire le contenu dans leurs propres lois nationales[1].

Pour surmonter cette difficulté, qui aurait porté préjudice à la fois aux citoyens britanniques et aux rapports commerciaux qu’entretient le Royaume-Uni avec le reste des pays de l’Union, le gouvernement britannique a promulgué une série de lois destinées à transposer la quasi-totalité du RGPD dans son ordre juridique.

Le feed-back de la Commission européenneLa Commission européenne a considéré que le nouveau droit positif du Royaume-Uni assurait bien un niveau de protection des données personnelles équivalent à celui garanti par le RGPD.

 

L’institution européenne a ainsi adopté une décision d’adéquation le 28 juin 2021[2]. Celle-ci a notamment pour effet de dispenser les responsables de traitement soumis au RGPD européen d’avoir à accomplir des formalités supplémentaires avant de transférer des données personnelles vers le Royaume-Uni.

Cette décision vaut en théorie pour une durée de quatre années, sauf décision contraire de la Commission européenne. L’institution a toutefois précisé qu’elle surveillerait attentivement l’évolution de la législation et les pratiques britanniques à ce sujet, et qu’elle se réservait le droit de suspendre, abroger ou modifier sa décision d’adéquation s’il était démontré que le Royaume-Uni n’assurait plus un niveau de protection adéquat des données personnelles.

Mais, bien qu’averti des conséquences d’un éventuel « retour en arrière » de sa part, le Royaume-Uni n’est-il pas en train de filer à l’anglaise ?

Le récent bad buzz du gouvernement britannique – Le 8 mars 2023, la secrétaire d’État anglaise à la Science, à l’Innovation et à la Technologie Madame Michelle DONELAN a présenté au Parlement un récent projet de loi, qui pourrait bien changer la donne[3]. Le texte prévoit un aménagement des dispositions actuellement en vigueur, jugées trop contraignantes pour les entreprises. Brandissant le fait que cette réforme permettrait de réaliser près de 4 milliards de livres d’économies en 10 ans, il y serait question de :

1 – Assouplir les règles sur l’exploitation des données personnelles dans le cadre de la recherche scientifique

L’article 6(1)(b) RGPD définit le principe de limitation des finalités, c’est-à-dire que les données à caractère personnel doivent être : […] « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales ».

Le projet de loi anglais vise à étendre la définition de la « recherche scientifique » pour y inclure les activités de recherche dans le secteur commercial. L’idée serait que les entreprises puissent elles aussi réutiliser des données qu’elles auraient préalablement collectées auprès de leurs clients et partenaires pour leurs propres activités de recherche et développement.

2 – Réduire les formalités administratives incombant aux responsables de traite

Sous l’empire du RGPD, tout responsable de traitement est tenu à un principe « d’accountability ». Il s’agit pour lui non seulement de devoir respecter ses obligations légales en matière de protection des données, mais d’être en mesure de démontrer à chaque instant de sa conformité (art. 5(2) du RGPD).

Cette mesure est particulièrement protectrice des personnes concernées qui, en cas de désaccord, n’ont pas à apporter la preuve du manquement de l’organisme ; preuve difficilement accessible pour elles puisque ces justificatifs sont précisément souvent détenus par le responsable de traitement.

Estimant cette exigence trop astreignante pour les responsables de traitement, le gouvernement britannique souhaite en réduire considérablement le champ d’application. Il est d’avis que seuls les organismes poursuivant des activités susceptibles de présenter un risque pour les droits et libertés des personnes concernées devraient désormais tenir une documentation de leur conformité.

Pas cool pour les citoyens dont les informations personnelles sont manipulées au quotidien, mais de façon trop insignifiante aux yeux du gouvernement du 10 Downing Street pour s’assurer du degré de conformité du responsable de traitement (démarchage et prospection, profilage en ligne, renseignements RH des entreprises, etc.).

Le texte prévoit également un allègement des règles de consentement des personnes concernées pour le dépôt de cookies[4].

3 – Encourager les transferts de données à l’international…

…En exemptant, entre autres, les responsables de traitement de vérifier que le destinataire étranger continue de respecter ses obligations en matière de protection des données, après leur contrôle initial.

OH MY GOD ! Autant de rétropédalages ?…

Le projet de loi émet l’idée de créer deux cadres règlementaires distincts. Les groupes britanniques désirant poursuivre leurs activités dans l’Union européenne seraient, malgré tout, encore obligés de respecter le RGPD[5]

Mais nous en savons encore peu pour l’instant, cette réforme n’ayant curieusement pas fait la une des tabloïds…

 

Mauvais timing pour une telle annonce – Si le gouvernement britannique a réaffirmé dans son projet de loi son souhait de maintenir un haut niveau de protection aux données personnelles manipulées sur son territoire, il est permis d’en douter.

Cette évolution du cadre légal va nécessairement être analysée de près par la Commission européenne, puisqu’elle risque d’amoindrir le niveau de protection accordée aux éventuelles données personnelles de résidents européens transférées vers le Royaume-Uni…

D’autant que le gouvernement britannique a récemment signé avec les États-Unis un accord bilatéral autorisant les autorités de chaque pays à réclamer aux organismes de l’autre la communication des données personnelles qu’ils auraient en leur possession, lors d’investigations sur certains crimes relevant du grand banditisme ou du terrorisme. Cette entente, conclue le 3 octobre 2022, intervient dans le cadre du CLOUD ACT américain[6] & [7] . Elle pourrait ainsi donner un accès direct aux autorités américaines à des données personnelles de résidents européens envoyées de prime abord « en toute confiance » au Royaume-Uni…

En dehors de toute révision anticipée de la décision d’adéquation rendue par l’Institution européenne, celle-ci expire dans tous les cas le 27 juin 2025. Sa prorogation éventuelle sera l’occasion d’un examen des garanties offertes par le Royaume-Uni sur cette problématique.

Considérera-t-elle que tout est « Okay »

Nous vous rappelons qu’en l’absence de décision d’adéquation, les responsables de traitement soumis au RGPD ne pourront plus transférer de données personnelles vers le Royaume-Uni sans avoir pris des garanties appropriées pour s’assurer de leur sécurité là-bas. L’article 46 du RGPD dresse la « check-list » de ces garanties, qui peuvent être : un arrangement administratif contraignant et exécutoires, pour les organismes publics (1) ; des règles d’entreprise contraignantes (2) ; des clauses types de protection des données, soit spécifiques ou approuvées par la Commission européenne (3) ; voire l’engagement du destinataire de suivre un code de conduite approuvé (4) ou le cahier des charges d’une certification qui lui aurait été délivrée (5).

* * *

Contrairement à ce qu’affirme le gouvernement britannique, ces obligations légales sont un véritable atout pour les organismes, à l’heure où les personnes concernées ont davantage d’attente sur la manière dont sont recueillies et exploitées leurs informations personnelles.

Ce n’est un scoop pour personne : loin d’être un coût supplémentaire pour les sociétés, leurs démarches de conformité sont désormais largement valorisables et valorisées sur le marché.

Perdus dans l’identification et la gestion des différents pans de votre conformité ?

Notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.

Nous vous invitons à prendre contact les services de RGPD-Experts via notre formulaire :

https://www.rgpd-experts.com/contactez-rgpd-experts/

 

L.H

 

[1] Cette applicabilité immédiate des règlements européens découle de l’effet « direct » qui leur est reconnu.

[2] La décision d’exécution de la Commission du 28 juin 2021 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni est disponible dans son intégralité à l’adresse suivante : https://commission.europa.eu/system/files/2021-06/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_fr_0.pdf

[3] Tel qu’indiqué dans un communiqué du gouvernement britannique accessible en ligne : https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr

[4] https://www.usine-digitale.fr/article/exit-le-rgpd-le-royaume-uni-assouplit-ses-regles-sur-la-protection-des-donnees.N2109356

[5] Ibid.

[6] https://www.justice.gov/opa/pr/landmark-us-uk-data-access-agreement-enters-force

[7] Pour en savoir plus sur le Cloud Act américain et ses conséquences sur votre conformité, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/google-analytics/

 

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

 

 

 

tout sur les violations de données

Identification, anticipation, réaction :

La gestion des violations de données

n’aura plus de secret pour vous !

 

En mars 2022, l’Assurance Maladie annonçait avoir été victime d’une cyberattaque ayant entraîné une violation des informations médicales de plus de 500 000 Français [1]. En novembre 2022, c’était au tour de la plateforme de musique en streaming « Deezer » de révéler la fuite des données de ses utilisateurs, qu’elle avait confiées à l’un de ses partenaires commerciaux[2].

Nous ne trahissons aucun secret en rappelant que les données personnelles ont désormais une valeur économique importante dans notre société numérique. Convoités par des hackers souhaitant revendre ces renseignements aux plus offrants, les organismes sont de plus en plus nombreux à révéler ces intrusions survenues dans leurs systèmes d’information.

Mais les piratages informatiques ne sont pas les seules hypothèses de violations de données, loin de là.

Comment prévenir, identifier ou réagir face à de telles violations de données ? RGPD-Experts vous livre tous ses secrets[3] !

 

Qu’est-ce qu’une violation de données ?

D’après l’article 4(12) du Règlement Général sur la Protection des Données (RGPD), il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé » à ces données.

Cette formulation recouvre en fait tous les incidents de sécurité ayant pour conséquence de compromettre :

A) L’intégrité des données personnelles (elles sont ou ont été modifiées par des personnes non autorisées)

ET/OU

B) Leur confidentialité (d’autres personnes que celles spécifiquement habilitées à en connaître ont pu y avoir accès)

Exemple: un collaborateur envoie par mégarde le dossier d’un patient à un autre, en se trompant d’adresse e-mail.

ET/OU

C) Leur disponibilité (elles n’ont plus été accessibles ou exploitables selon les formes et modalités prévues, temporairement ou définitivement).

 Exemple: impossibilité pour un client de consulter son compte personnel sur le site d’une entreprise.

Toute faille de sécurité ne constitue donc pas nécessairement une violation de données ! Tant que la vulnérabilité n’est pas exploitée ou ne compromet pas de données à caractère personnel, il ne s’agit nullement de violation.

Exemple: l’intervention du personnel d’entretien d’une société en dehors des heures d’ouverture des bureaux constitue bien une vulnérabilité pour les systèmes d’information de l’organisme, mais pas une violation de données si les données n’ont pas pu être compromises (notamment si elles n’ont pas pu être consultées, car stockées dans des armoires fermées à clé).

Quelles sont les obligations des organismes en la matière ?

Qui ? Tous les organismes sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour prévenir la survenance de violations de données.

En revanche, en cas de violation de donnée avérée, seuls les responsables de traitement doivent gérer cette situation. C’est à eux qu’il appartient de prendre les mesures nécessaires pour remédier à la violation, en atténuer les éventuelles conséquences négatives et éventuellement notifier la CNIL[4], les personnes concernées ou d’autres autorités si cela s’impose.

Cela ne signifie pas que les sous-traitants sont exempts de tous devoirs. En cas de violation de données, ils doivent impérativement en notifier le responsable de traitement dans les meilleurs délais après en avoir pris connaissance (1) et aider ce dernier à respecter ses propres devoirs (2), notamment en lui transmettant l’ensemble des informations dont il a connaissance. Pas question d’emporter avec lui des secrets dans la tombe !

Quoi ? En plus de tout mettre en œuvre pour éviter la survenance d’une violation de données, le responsable de traitement est tenu :

De tenir un registre des violations de données

Les textes encadrent d’ailleurs non seulement l’existence même de cette documentation, mais aussi son contenu. Certaines mentions doivent obligatoirement y apparaître (la nature de la violation, les catégories et le nombre approximatif de personnes concernées / fichiers concernées, les conséquences probables de la violation, les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation, etc.).

Vous ne pouvez pas gérer ces incidents dans le secret: tous doivent être renseignés dans ce registre.

 

De notifier éventuellement la violation…

(A) À la CNIL

Le responsable de traitement n’est tenu de notifier la violation de données à la CNIL que si celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Autrement dit, il n’est pas obligé d’en informer l’autorité de contrôle si l’incident constitue une simple faille de sécurité et non une violation de données, si la violation ne concerne pas de données à caractère personnel (ex. : informations sur une personne morale), ou encore s’il ne fait courir aucun risque pour les droits et libertés des personnes concernées (ex. : la perte par un collaborateur de l’entreprise de son ordinateur professionnel, dont l’ouverture est protégée par un mot de passe « fort » et dont le disque dur est chiffré).

Cette notification de la CNIL doit intervenir dans les meilleurs délais, et au plus tard 72 heures à compter du moment où le responsable de traitement a connaissance de la violation de données, par le biais d’un téléservice sécurisé dédié disponible à l’adresse suivante : https://notifications.cnil.fr/notifications/index .

Là encore, la législation prévoit expressément les renseignements à transmettre à la Commission[5].

Au-delà de ce délai, le responsable de traitement devra, en plus de son signalement, justifier à la CNIL les motifs du retard de sa notification. Pas sûr que ces secrets lui plaisent !

ATTENTION – La CNIL aura alors un rôle d’accompagnement et d’encadrement (recommandations, vérification du registre interne des violations de données, vérification de la nécessité d’informer les personnes concernées voire injonction de le faire…), mais pas seulement ! La mission générale de contrôle dont elle est investie n’est jamais bien loin. Cette notification est susceptible de constituer le point de départ d’un contrôle global de votre conformité par la CNIL, au-delà de la seule violation de donnée.

D’où l’importance d’avoir étudié au préalable les circonstances dans lesquelles vous devriez notifier ou non la CNIL

Si vous l’en avisez alors que cela n’était pas nécessaire, vous risquez d’attirer inutilement l’attention de la Commission sur votre organisme. Celle-ci pourrait ensuite percer les secrets de certaines de vos pratiques inavouables en matière de protection des données à caractère personnel… Mais si vous ne le faites pas, alors que cela s’imposait, cela constitue une violation du RGPD, punissable tant sur le plan administratif que pénal [6].

Le sous-traitant qui ne notifierait pas cette violation au responsable de traitement encourt les mêmes peines.

(B) Aux personnes concernées

Le responsable de traitement n’est tenu de notifier la violation de données aux personnes concernées que si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Eux aussi ont le droit de savoir que leur jardin secret ne l’est plus tant !

Cette notification doit s’effectuer :

  • Dans les meilleurs délais après que le responsable de traitement en ait pris connaissance ;
  • Avec la transmission de certains renseignements expressément prévus par les textes ; En des termes clairs simples et précis ;
  • Selon le mode de communication de son choix. La législation n’impose pas les modalités de cette communication. Le responsable de traitement doit utiliser les coordonnées (postale, téléphonique, courriel) ou autres éléments dont il dispose (pseudonyme, numéro d’identification interne ou en ligne, « chat »…) pour joindre individuellement chaque personne concernée.

Par exception, le responsable de traitement n’est pas tenu d’informer les personnes concernées si :

 Il avait pris en amont ou après la violation de données des mesures garantissant que le risque élevé pour les droits et libertés des personnes ne se concrétisera pas.

Exemple : les données personnelles affectées sont incompréhensibles pour toute personne non autorisée à y avoir accès, notamment par la mise en place de codes secrets / mesure de chiffrement conforme à l’état de l’art et dont la clé n’a pas été compromise.

→ La communication exigerait des efforts disproportionnés pour le responsable de traitement

Exemple : le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées.

ATTENTION : dans cette situation, le responsable de traitement devra informer les victimes par une communication publique, ou toute autre mesure aussi efficace.

(C) Aux autres autorités de régulation, si la législation le prévoit

Il convient donc de vous renseigner, selon la nature des activités menées par votre structure, si vous êtes tenu d’alerter d’autres autorités spécifiques que la CNIL de cette violation de données (l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour les « opérateurs d’importance vitale » ; les Agences Régionales de Santé (ARS) et du groupement d’intérêt public en charge du développement des systèmes d’information de santé partagés pour les établissements de santé, etc.).

En résumé 

Ce n’est pas un secret de polichinelle : plus vous anticiperez la survenance d’une violation de données, plus vous serez à même de gérer sereinement cette situation pourtant anxiogène !

Nous ne pouvons que vous inciter à mettre en place, dans votre organisme, une procédure permettant d’encadrer ces différentes étapes et s’inscrivant dans la documentation[7] de votre conformité. Les points à étudier sont nombreux, et comprennent notamment, sans que cette liste soit exhaustive :

1)      La mise en place de dispositifs de détection des incidents de sécurité ;

2)     La création d’un registre des incidents de sécurité ;

3)     L’instauration de mesures d’évaluation de la certitude et du niveau de gravité de ces incidents ;

·      Constituent-ils seulement une faille de sécurité ? Une violation de données ? Une violation ne présentant aucun risque / un risque / un risque élevé pour les droits et libertés des personnes concernées ?

·      La détermination de la liste des critères à prendre en compte pour évaluer au cas par cas la gravité du risque pour les droits et libertés des personnes concernées : type de violation, sensibilité des données personnelles visées, nombres de personnes concernées et facilité à les identifier, durée de la violation dans le temps, conséquences possibles de la violation à leur égard, mesures de sécurité préexistantes, etc.

4)     Les réflexes à adopter en cas de violation de données avérée. Compte tenu des délais courts dans lesquels vous êtes tenus d’agir, il est essentiel de prévoir par écrit :

·         Des instructions précises pour vos sous-traitants face à une telle situation, dans vos contrats de sous-traitance ;

·         Identifier le personnel compétent (en interne, mais aussi les acteurs externes susceptibles d’être impliqués) ;

·         Organiser le signalement interne de l’incident de sécurité ;

·         Mener les investigations nécessaires pour qualifier l’incident (cf. étape 2) et pour établir le contexte de la violation de données (circonstances, ampleur, gravité) ;

·         Documenter l’incident ;

·         Prévoir les réponses à apporter à l’incident de sécurité (mesures possibles de résolution de l’incident ; éventuelle notification de la violation de données à l’autorité de contrôle /aux personnes concernées / autres autorités de régulation préalablement identifiées ; signalement possible des forces de l’ordre /autorités judiciaires compétentes / assurance, etc.).

5)     Tirer les conséquences de l’incident de sécurité pour éviter qu’il ne se reproduise à l’avenir.

Le secret d’une bonne procédure réside dans son anticipation !

Tout ce qui aura été organisé en amont vous fera gagner un temps précieux en aval. Notre équipe de professionnels est à votre disposition pour vous accompagner dans cette démarche.

Mais surtout, dans notre souci de simplifier chaque jour un peu plus vos actions de conformité, RGPD-Experts a développé Register +, un logiciel de suivi de votre conformité facile d’utilisation et entièrement sécurisé. Cette solution vous permet de centraliser sur une seule et unique plateforme l’ensemble de votre documentation RGPD. Notre outil comprend évidemment un accompagnement à la constitution de votre registre des violations et failles de sécurité, mais pas que !

 

 

Nous vous invitons à vous rapprocher de notre équipe pour tester notre solution et en savoir plus sur ces fonctionnalités :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] https://www.cybermalveillance.gouv.fr/diagnostic/4008fd34-144b-4f88-8edf-8571c5da593e

[2] https://support.deezer.com/hc/fr/articles/7726141292317-Violation-de-Donn%C3%A9es-par-un-Tiers

[3] Ou presque ! Compte tenu des subtilités de cette problématique et pour des raisons matérielles, cet article constitue une présentation générale du cadre légal applicable aux hypothèses de violation de données, mais n’est nullement exhaustif.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[5]  Si le responsable de traitement n’a pas encore à sa disposition toutes ces informations, les textes l’autorisent à notifier l’autorité de contrôle au fur et à mesure de ses propres investigations, c’est-à-dire de façon échelonnée en fonction des éléments qu’il découvrirait encore après le délai de 72 heures.

[6] En dehors des sanctions prévues par le RGPD, le fait pour un responsable de traitement de ne pas procéder à la notification d’une violation de données est puni de 5 ans d’emprisonnement et 300 000 € d’amende, conformément à l’article 226-17-1 du Code pénal.

[7] Conformément au principe d’ « accountability » prévu à l’article 5(2) du RGPD, le responsable de traitement est tenu non seulement de respecter la législation en vigueur en matière de protection des données, mais aussi d’être capable de démontrer à tout moment et par tout moyen sa conformité.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Transferts vers les USA

L’EDPB se félicite des améliorations apportées par le cadre UE-États-Unis sur la protection des données, mais des inquiétudes subsistent

 

Après les remarques de la commission des libertés civiles de la justice et des affaires intérieures du Parlement européen Lien, c’est au tour de l’EDPB de faire le point sur le projet d’adéquation des USA.

Bruxelles, 28 février

L’EDPB a adopté son avis sur le projet de décision d’adéquation concernant le cadre de protection des données à caractère personnel entre l’UE et les États-Unis. L’EDPB accueille favorablement les améliorations substantielles telles que l’introduction d’exigences reflétant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement américains et le nouveau mécanisme de recours pour les personnes concernées de l’UE.

En même temps, il exprime des préoccupations et demande des clarifications sur plusieurs points. Ceux-ci concernent, en particulier, certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire de données en masse et le fonctionnement pratique du mécanisme de recours. L’EDPB apprécierait que non seulement l’entrée en vigueur mais aussi l’adoption de la décision soient conditionnées à l’adoption de politiques et de procédures actualisées pour mettre en œuvre l’Executive Order 14086 par toutes les agences de renseignement américaines. L’EDPB recommande à la Commission d’évaluer ces politiques et procédures mises à jour et de partager son évaluation avec l’EDPB.

Andrea Jelinek, présidente de l’EDPB, a déclaré :  » Un niveau élevé de protection des données est essentiel pour sauvegarder les droits et libertés des individus de l’UE. Tout en reconnaissant que les améliorations apportées au cadre juridique américain sont significatives, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées afin de garantir la pérennité de la décision d’adéquation. Pour la même raison, nous pensons qu’après le premier examen de la décision d’adéquation, des examens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer. »

Le projet de décision d’adéquation, publié par la Commission européenne le 13 décembre 2022, est basé sur le cadre de protection des données (DPF) UE-États-Unis – censé remplacer le Privacy Shield invalidé par la CJUE dans l’arrêt Schrems II. L’élément clé du DPF est constitué par les principes du cadre UE-États-Unis de protection des données, qui ont été publiés par le ministère américain du commerce. Le DPF n’est applicable qu’aux organisations américaines qui se sont auto-certifiées. L’EDPB a maintenant adopté son avis sur le projet de décision, qui prend en compte à la fois les aspects commerciaux et l’accès et l’utilisation des données par les autorités publiques américaines.

En ce qui concerne les aspects commerciaux, l’EDPB se félicite d’un certain nombre de mises à jour apportées aux principes du DPF. Il note également qu’un certain nombre de principes restent essentiellement les mêmes que dans le cadre du Privacy Shield. À ce titre, certaines préoccupations demeurent, par exemple, en ce qui concerne certaines exemptions au droit d’accès, l’absence de définitions clés, le manque de clarté quant à l’application des principes du DPF aux sous-traitants, la large exemption au droit d’accès pour les informations accessibles au public, et l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. L’EDPB réaffirme également que le niveau de protection ne doit pas être affaibli par les transferts ultérieurs. Il invite donc la Commission à préciser que les garanties imposées par le destinataire initial à l’importateur dans le pays tiers doivent être effectives au regard de la législation du pays tiers, avant tout transfert ultérieur.

En outre, l’EDPB demande à la Commission de clarifier la portée des exemptions concernant l’obligation d’adhérer aux principes du DPF et souligne l’importance d’une surveillance et d’une application efficaces du DPF. Ces aspects seront suivis de près par l’EDPB, ainsi que l’efficacité des voies de recours offertes aux personnes concernées de l’UE dont les données sont traitées en violation du RGPD.

En ce qui concerne l’accès du gouvernement aux données transférées aux États-Unis, l’EDPB reconnaît les améliorations significatives apportées par l’Executive Order (EO) 14086. L’EO introduit les concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignement américains (renseignement électromagnétique).

En outre, le nouveau mécanisme de recours crée des droits pour les individus de l’UE et est soumis à l’examen de la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). Le PE consacre également davantage de garanties pour assurer l’indépendance de la Cour de révision de la protection des données (CRPD), par rapport au mécanisme précédent du médiateur et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.

L’EDPB souligne qu’une surveillance étroite est nécessaire concernant l’application pratique des principes de nécessité et de proportionnalité nouvellement introduits. Une plus grande clarté est également nécessaire concernant la collecte temporaire en vrac et la conservation et la diffusion ultérieures des données collectées en vrac.

L’EDPB s’inquiète également de l’absence d’obligation d’autorisation préalable par une autorité indépendante pour la collecte de données en masse en vertu de l’Executive Order 12333, ainsi que de l’absence de contrôle indépendant systématique ex post par un tribunal ou un organe indépendant équivalent.

En ce qui concerne l’autorisation indépendante préalable de la surveillance au titre de la section 702 de la FISA, le PCLOB regrette que la Cour FISA ne contrôle pas la conformité avec l’Executive Order 14086 lorsqu’elle certifie des programmes autorisant le ciblage de personnes non américaines, alors même que les autorités de renseignement qui exécutent le programme sont liées par celui-ci. Des rapports du PCLOB sur la manière dont les garanties de l’EO 14086 seront mises en œuvre et comment ces garanties sont appliquées lorsque des données sont collectées en vertu de la section 702 de la FISA et de l’EO 12333 seraient particulièrement utiles.

En ce qui concerne le mécanisme de recours, l’EDPB reconnaît les garanties supplémentaires prévues, telles que le rôle des avocats spéciaux et l’examen du mécanisme de recours par le PCLOB. En même temps, l’EDPB est préoccupé par l’application générale de la réponse standard du DPRC notifiant au plaignant que soit aucune violation couverte n’a été identifiée, soit une détermination exigeant une remédiation appropriée a été émise, d’autant plus que cette décision ne peut pas faire l’objet d’un appel. L’EDPB invite donc la Commission à surveiller de près le fonctionnement pratique de ce mécanisme.

 

A.R