TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

Après deux ans d’enquête, la CNIL[1] a condamné la société TOTAL ÉNERGIES ÉLECTRICITÉ ET GAZ France au paiement d’une amende d’un million d’euros. Sa décision du 23 juin 2022 sanctionne deux principaux manquements du fournisseur d’énergie à la législation en vigueur en matière de protection des données à caractère personnel[2].

RGPD-Experts vous tient au courant des règles pourtant fondamentales mises en cause dans cette affaire.

Violation des règles relatives à la prospection

Saisie de 27 plaintes de particuliers, la Commission a pris la température de la conformité de TOTAL ÉNERGIES.

Elle a tout d’abord constaté les pratiques inadaptées de la société dans le cadre de ses campagnes de relance de prospects.

TOTAL ÉNERGIES a effectivement recontacté de nombreux clients potentiels par courrier ou par téléphone grâce aux informations personnelles que ceux-ci lui avaient fournies en ligne pour obtenir des devis, ce sans avoir préalablement recueilli leur consentement à recevoir des offres commerciales comme l’exige l’article L. 34-5 du Code des postes et des communications électroniques[3].

 

Or, ces prospects avaient accepté de renseigner leurs coordonnées sur le site Internet de l’entreprise pour une finalité précise, à savoir la souscription d’un possible contrat. Le fait d’utiliser ces informations pour leur vanter par la suite les avantages ou promotions proposées par TOTAL ENERGIES constitue une seconde finalité à l’exploitation de leurs données, pour laquelle ces internautes n’avaient pas donné leur accord.

Le formulaire de collecte de données en question mentionnait uniquement que :

« En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Énergie pour vous présenter ultérieurement ses offres »

L’usage de phrases génériques de ce type est à proscrire. Dans ces conditions, les intéressés n’étaient en effet pas en mesure de donner expressément leur consentement à ce que leurs coordonnées soient utilisées à des fins de prospection, alors même que les textes imposent que leur accord résulte d’un acte positif clair.

 

La CNIL a également conclu à un manque d’information ou une information incomplète des prospects démarchés par téléphone.

 

 

Lors de ces appels, les collaborateurs de TOTAL ÉNERGIES ne les renseignaient pas sur les principales caractéristiques du traitement de leurs données personnelles ainsi que sur leurs droits en la matière, en violation des articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD).

 

 

 

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

 

–       Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

 

–       Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

 

–   Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

 

–       Instaurer un mécanisme permettant aux personnes concernées d’obtenir l’ensemble des informations requises par les articles 13 et 14 du RGPD. Vous pouvez par exemple les inviter à appuyer sur une touche de leur clavier de téléphone les renvoyant vers une personne compétente ou activant la lecture d’un message préenregistré.

 

Violation des règles relatives au respect des droits des personnes concernées

Les dispositions issues du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée reconnaissent divers droits aux personnes concernées par le traitement de leurs données, afin qu’elles puissent en conserver la maitrise.

Comment briller sur ce point ?

L’étendue de ces prérogatives dépend de la nature du traitement de données en question. Elles se traduisent notamment, et selon les cas, dans le droit :

  • D’accéder à ses données et/ou d’en obtenir une copie ;
  • De les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • De les effacer ;
  • De limiter le traitement de ses données ;
  • Du droit à la portabilité de ses données ;
  • De s’opposer au traitement de ses données personnelles ;
  • De formuler des directives sur le sort de ses données après son décès auprès d’un tiers de confiance ;
  • De retirer à tout moment son consentement au traitement de ses données, si telle est la base légale du traitement ;
  • D’introduire une réclamation auprès de la CNIL.

Or, il y a justement eu de l’eau dans le gaz sur le sujet entre le fournisseur d’énergie et le gendarme français de la protection des données personnelles… La CNIL a en effet mis en évidence les lacunes de TOTAL ÉNERGIES dans la gestion des demandes d’exercice de droit formulées par ses clients et prospects.

L’autorité régulatrice révèle que la société n’a pas respecté les modalités de réponse imposées par les textes, voire s’est parfois purement abstenue de traiter ces requêtes, en particulier des demandes d’accès de clients à leurs données et leur opposition à être inscrits sur ses listes de prospection commerciale.

Lorsqu’un individu porte à la connaissance du responsable de traitement sa volonté d’exercer l’un de ses droits, ce dernier est tenu de lui indiquer les suites données à sa requête « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (article 12 RGPD)[4].

Ce délai de réponse peut être prolongé de deux mois, notamment en raison de la complexité ou du nombre de demandes adressées au responsable de traitement, et à condition d’informer le demandeur de ce report et de ses motifs.

Les investigations de l’autorité régulatrice ont ici permis de constater de multiples retards dans les réponses données aux clients et prospects ayant demandé à TOTAL ÉNERGIES d’exercer leurs droits.

La CNIL souligne le fait que la société ne pouvait pas se retrancher derrière le manque de coopération de ses partenaires commerciaux lui vendant les coordonnées de prospects pour justifier ces retards.

En effet, il lui appartient en tant que responsable de traitement de s’organiser pour pouvoir répondre aux demandes d’exercice de droit d’accès aux données dans les délais requis par la loi. Elle précise en outre que TOTAL ÉNERGIES pouvait aussi communiquer aux demandeurs les informations dont elle disposait les concernant au fur et à mesure que celles-ci lui étaient transmises, plutôt que de se taire mécaniquement.

TOTAL ÉNERGIES a également essayé de se défendre en argumentant que certains plaignants n’avaient pas contacté les services spécifiquement en charge de ces questions. La CNIL a estimé que cette circonstance n’exonérait pas la société de sa responsabilité, dès lors qu’elle avait pour obligation de répondre à toutes les requêtes qui lui sont envoyées, même par un autre canal que celui prévu à cet effet.

En l’occurrence, l’objet de ces demandes était clair. Il revenait donc à TOTAL ÉNERGIES de veiller en interne à ce qu’elles soient transférées au personnel compétent.

TOTAL ÉNERGIES a aussi pu juger à tort qu’il n’était pas utile de dépenser de l’énergie pour prévenir certains demandeurs de la régularisation de leur situation. Ces derniers sont alors restés illégitimement dans le noir en ce qui concerne les suites apportées à leurs sollicitations…

Pas besoin d’être une lumière pour comprendre l’importance de rédiger des procédures pour gérer efficacement le traitement des demandes d’exercice de droits des personnes concernées.

Des protocoles de vérification de la recevabilité de ces requêtes à la rédaction de réponses types, en passant par une analyse approfondie de l’applicabilité de ces droits à vos opérations de traitement, RGPD-Experts met à votre disposition son expertise pour vous éviter d’être confrontés à des situations électriques…

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] L’intégralité de la délibération de la CNIL est disponible à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045975295?init=true&page=1&query=San-2022-011&searchField=ALL&tab_selection=all

[3] Pour davantage d’informations concernant la gestion des données personnelles lors de vos campagnes de prospection, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[4] Cette règle vaut aussi en cas d’inaction du responsable de traitement, l’organisme devant alors justifier des raisons de son refus ainsi que de la possibilité pour le demandeur de saisir une autorité de contrôle de sa réclamation et de contester cette décision en justice.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

 

L’envolée des législations européennes relatives à la « protection » des données personnelles se poursuit.

Dans le prolongement des accords provisoires pour l’encadrement des services et des marchés numériques, la Commission Européenne a publié le 03 mai 2022 sa proposition de règlement pour un Espace Européen des Données de Santé, plus connu sous le nom de “European Health Data Space” (EHDS).

En quoi consiste ce nouveau projet ? RGPD-Experts vous explique les enjeux de ce texte. 

De quoi parlons-nous ?

Soulignant l’importance des services numériques dans la gestion de la pandémie de Covid-19, les États membres de l’Union Européenne (UE) se sont emparés de ce contexte pourtant exceptionnel pour insister sur la nécessité d’harmoniser leurs règles nationales sur l’accès et l’utilisation des données de santé.

L’Espace Européen des Données de Santé vise globalement à instaurer un marché unique de données de santé à l’échelle européenne.

Les finalités affichées de cette réforme sont doubles :

 

Faciliter l’utilisation primaire des données de santé des citoyens européens :

La proposition de règlement prévoit que les documents médicaux devront être émis sous une forme standardisée, afin de permettre leur partage dans et entre tous les États membres.

Selon la Commission, l’EHDS constitue en ce sens un avantage à la fois pour les patients et les professionnels de santé, en leur garantissant un accès et une maitrise de ces informations sensibles par-delà les frontières. D’après l’institution, cette interopérabilité sera gage d’une meilleure continuité des soins et d’une prise en charge optimale des malades.

Elle vise notamment à renverser les barrières linguistiques susceptibles d’entraver l’accès aux soins des patients ou la compréhension de leur dossier médical par les professionnels de santé. Chacun d’eux pourra désormais consulter les documents médicaux dans sa langue maternelle.

Exemple : un individu pourra ainsi aisément faire renouveler en Italie son ordonnance de médicaments délivrée en France, et se procurer son traitement en Allemagne.

Les données de santé des citoyens seront consignées au sein d’un programme que les États membres sont tenus d’intégrer d’ici 2025, intitulé « MyHealth@EU ».

Si la France a déjà partiellement déployé cette solution via le service « Sesali.fr »[1], d’autres États sont encore loin de cette révolution digitale. En effet, près d’un tiers des pays de l’UE recourent encore majoritairement à des dossiers médicaux et à des prescriptions papiers[2]

Faciliter l’utilisation secondaire des données de santé des citoyens européens :

La proposition de règlement établit également un cadre commun pour l’usage des données de santé à des fins de recherche, d’innovation, de statistiques ou d’élaboration de politiques de santé publique.

L’idée est simple : faire bénéficier les chercheurs, les entreprises du secteur de la santé et les décideurs d’une quantité importante de données pour augmenter la fiabilité de leurs projets respectifs.

L’ensemble de ces informations – censées avoir été préalablement anonymisées – seront rassemblées au sein d’une nouvelle infrastructure transfrontière développée à cet effet par l’Union Européenne, dénommée « HealthData@EU ».

Afin de contrôler l’exploitation de ces données mutualisées, chaque Etat membre devra mettre en place un organisme chargé de délivrer les autorisations d’accès aux entités et particuliers en faisant la demande.

La France s’est montrée particulière proactive face à cette réforme, puisqu’elle a créé une telle instance dès 2019. Ce Groupement d’Intérêt Public, composé de 56 parties prenantes relevant du domaine de la santé[3], porte le nom de « Health Data Hub » ou « Plateforme des données de santé »[4].

 

Les objectifs de l’Espace Européen des Données de Santé selon la Commission Européenne
Source : https://ec.europa.eu/commission/presscorner/detail/fr/fs_22_2713

Et en réalité ?

Si l’Union Européenne se targue d’instaurer ces nouveaux dispositifs en vue d’améliorer les diagnostics médicaux et les systèmes de santé, les enjeux de ce texte s’avèrent aussi et surtout économiques.

L’Espace Européen des Données de Santé entend inciter à l’innovation, en permettant aux entreprises du secteur de la santé de disposer d’un large échantillon de données de santé. Il a ainsi pour objectif de soutenir la croissance, en leur ouvrant de nouveaux marchés dans d’autres États membres.

La Commission ne cache également pas sa volonté de réduire le coût de ses politiques de santé publique.

Selon elle, l’EHDS devrait faire économiser à l’UE près de 11 milliards d’euros, tant grâce à l’optimisation attendue des activités des prestataires de soins (l’échange de données de santé entre professionnels devant éviter la répétition des examens médicaux et renforcer la fiabilité des diagnostics/traitements) que grâce à la documentation accrue des régulateurs (qui, disposant de données davantage probantes, sont supposés être plus à même d’ajuster leur gestion du système de santé et de stopper les dépenses inutiles).

Cet argument est paradoxal lorsque l’on sait que les États membres ont prévu d’investir 12 milliards d’euros dans la santé numérique… L’UE ne poursuivrait-elle pas des rêves chimériques ?

 

Des mesures si compréhensibles ?

Des questions perdurent quant aux modalités concrètes de mise en œuvre de l’Espace Européen des Données de Santé.

Les dispositions du règlement proposé par la Commission ne prévoient pas leur articulation avec les règles nationales des États membres en la matière, voire entrent ouvertement en contradiction avec elles.

Nous nous interrogeons sur la combinaison entre l’infrastructure européenne sur le partage de données de santé « MyHealth@EU », et le récent Dossier Médical Partagé instauré par le gouvernement français[5].

Par ailleurs, il n’est dit aucun mot sur les caractéristiques du format européen commun dans lequel devront être édictés les documents de santé afin d’être interopérables.

Enfin, les promesses de sécurité concernant l’exploitation des données de santé des citoyens européens sont particulièrement floues. Les formulations vagues employées par la Commission ne permettent pas de déterminer comment cette protection sera concrètement assurée…

Il est ainsi indiqué que ces données sensibles ne seront accessibles à des fins de recherche et d’innovation que pour des « finalités particulières » et non pour prendre des décisions préjudiciables aux citoyens, sous réserve d’être manipulées dans « des environnements fermés et sécurisés » et à condition que les identités des individus visés ne soient pas révélées.

Ces termes ne sont évidemment pas définis, de sorte qu’il est impossible de savoir comment l’anonymat des personnes concernées sera réalisé, ou à quels critères devront répondre les organismes souhaitant accéder à ces données pour justifier qu’ils disposent d’un environnement suffisamment “fermé et sécurisé“.

En d’autres termes, l’Espace Européen des Données de Santé pourrait compromettre la conformité des différents acteurs de cette santé numérique, qui restent tenus de respecter les exigences leur incombant aux termes du Règlement Général sur la Protection des Données (RGPD) [6].

Les organismes pourront-ils en pratique respecter et le RGPD, et la législation sur l’Espace Européen des Données de Santé ? Seul l’avenir nous le dira…

Avant d’entrer en vigueur, le projet de règlement de la Commission Européenne devra d’abord être examiné par le Conseil et le Parlement Européen.

S’il est adopté, ce texte modifiera légèrement l’organisation des institutions européennes, puisqu’il prévoit une nouvelle gouvernance spécifique à la santé numérique.  La création d’un « Comité de l’Espace Européen des Données de Santé » est envisagé. Composé des représentants des nouvelles autorités chargées de délivrer les autorisations d’accès aux bases de données de santé des Etats membres, de la Commission Européenne et d’observateurs divers, ce comité a pour ambition de veiller à une application cohérente des règles en matière de santé numérique sur le territoire de l’UE.

Un rôle non négligeable compte tenu des risques que cette réforme soit comprise différemment par tous, faisant des citoyens européens les grands perdants de ce probable quiproquo…

L.H

[1] Bien que déjà accessible, ce nouveau service de santé proposé par l’Agence du Numérique en Santé (ANS) n’est à ce jour pas encore finalisé. Seuls les citoyens de certains pays membres de l’UE y sont pour l’instant éligibles (Croatie, Malte, Portugal…).

[2] Source : « Questions et réponses – Santé dans l’UE : l’espace européen des données de santé », 03 mai 2022, eu.europa.eu (https://ec.europa.eu/commission/presscorner/detail/fr/qanda_22_2712)

[3] Dont la caisse nationale de l’assurance maladie (CNAM), la fédération française de l’assurance (FFA), l’institut national de la santé et de la recherche médicale (INSERM), l’institut national de la recherche en informatique et en automatique (INRIA), le centre national de la recherche scientifique (CNRS), la fédération hospitalière de France (FHF), l’assistance publique hôpitaux de Paris (AP-HP), etc.

Les modalités de fonctionnement de la plateforme sont régies par les articles L1462-1 et R1462 et suivants du Code de la santé publique.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est l’autorité administrative indépendante française compétente en matière de protection des données personnelles, a toutefois émis de nombreuses réserves concernant les modalités de mise en œuvre de cette « Plateforme des Données de Santé » et sur les risques qu’elle présente en l’état actuel pour les libertés individuelles.

[5] Pour plus d’informations concernant les enjeux de ce « Dossier Médical Partagé » en matière de protection des données personnelles, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/donnees-medicales/

[6] En effet, les mesures prévues au sein de la proposition de règlement de la Commission ne dérogent pas au RGPD.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

  • Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

  • Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

  • Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
  • Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
  • Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.
En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.
Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

 

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des analyses d’impact relatives à la vie privée et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

 

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

  • De 2 ans d’expérience dans le domaine de la protection des données
  • Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

 

Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO 

Le Délégué à la Protection des Données peut-être :

  • Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
  • Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.
  • Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).
AVANTAGES PRINCIPAUXAVANTAGES PRINCIPAUX
DPO Interne– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO – Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité. – Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes. – Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.           

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

– Conformité de votre site Internet : quels sont les points de vigilance ? –

Entre les informations collectées à travers des cookies et les renseignements recueillis auprès des internautes par un formulaire de contact, via leur compte individuel ou encore leur inscription à des newsletters, la gestion d’un site Internet entraine le traitement de nombreuses données personnelles.

Les organismes et les particuliers mettant en œuvre ces interfaces sont dès lors soumis aux exigences du Règlement Général sur la Protection des Données (RGPD).

RGPD-Experts vous livre ses conseils pour mener à bien vos projets en ligne !

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Conformément au principe de minimisation des données, vous n’êtes tenu de recueillir que les données pertinentes strictement nécessaires pour atteindre l’objectif poursuivi par leur collecte.

Concrètement, vous ne pouvez pas demander à vos interlocuteurs des renseignements personnels dont vous n’avez pas besoin dans l’immédiat.

Exemple : il n’est pas indispensable de connaître l’identité et les coordonnées complètes de l’internaute souhaitant s’abonner à votre newsletter. Seule son adresse e-mail est requise pour lui fournir ce service. En revanche, vous aurez besoin de ces éléments s’il commande un produit sur votre site Internet, afin de lui livrer le bien.

Nous vous conseillons de distinguer les informations obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Cette solution laisse le choix à l’utilisateur de vous fournir ou non davantage d’informations le concernant.

Nous vous recommandons également de limiter au maximum les zones de libres commentaires, c’est-à-dire les champs vides dans lesquels l’internaute peut consigner librement ce qu’il souhaite.

Non seulement ce dernier pourrait vous fournir plus de données que ce dont vous auriez besoin, mais il pourrait également vous communiquer spontanément des informations sensibles à son sujet. Or, le traitement de données sensibles est strictement encadré par le RGPD. Epargnez-vous ces complications tant que vous le pouvez !

Dotez-vous d’une politique de protection des données accessible et compréhensible

Pourquoi ? – Le RGPD impose d’informer les personnes concernées des principales caractéristiques du traitement fait de leurs données personnelles lors de leur utilisation de votre site Internet, ainsi que de leurs droits pour en conserver la maîtrise.

Afin de répondre à cette obligation légale, il est essentiel de définir une politique de protection des données.

Quoi ?  – Ce document, distinct des conditions générales de vente (CGV) ou des conditions d’utilisation du site (CGU), doit faire état de diverses mentions obligatoires expressément prévues par le RGPD.

Il doit a minima comporter les indications suivantes :

  • L’identité et les coordonnées du responsable du traitement de données ;
  • L’identité et les coordonnées du Délégué à la protection des données, s’il l’en a été désigné un – ou de la personne référente en matière de protection des données personnelles ;
  • Les finalités de chaque traitement de données lié à l’usage du site (le but de la collecte des données);
  • La base légale de chaque traitement de données (le fondement juridique vous donnant droit de traiter les données);
  • Le caractère obligatoire ou facultatif du recueil des données ;
  • Les destinataires ou catégories de destinataires des données (ceux qui pourront être amenés à y accéder ou à les recevoir, y compris les sous-traitants) ;
  • La durée de conservation des données, ou les critères permettant de déterminer cette durée ;
  • Les droits des personnes concernées (leurs droits d’accès, de rectification, d’effacement, à la limitation du traitement, ainsi que leurs droits d’opposition et à la portabilité des données s’ils sont applicables);
  • Le droit d’introduire une réclamation auprès de la CNIL[1].

Selon les opérations de traitement que vous mettez en œuvre, d’autres renseignements devront aussi éventuellement figurer, et notamment :

  • La nature des intérêts légitimes que vous poursuivez ou le droit pour l’utilisateur de refuser de donner son consentement ou de le retirer à tout moment, si telles sont les bases légales de votre traitement de données ;
  • L’existence d’un transfert des données en dehors de l’Union européenne et les garanties associées pour assurer un niveau de protection suffisant des données transmises à l’étranger ;
  • L’existence d’une prise de décision automatisée ou d’un profilage ainsi que ses conséquences pour la personne concernée et la logique sous-jacente de l’algorithme utilisé ;
ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].                   

Afin de répondre à ces exigences, il est donc impératif que votre politique de protection des données soit adaptée à votre propre situation et aux opérations de traitement que vous mettez en œuvre.

La CNIL exige que celle-ci reflète la réalité de vos activités, et ne soit pas rédigée de manière abstraite. Les phrases génériques de type « notre organisme est susceptible d’utiliser des données vous concernant pour mener à bien ses missions » sont à bannir. 

Comment ? – Selon l’article 12 du Règlement européen, cette information doit être « concise, transparente, compréhensible et aisément accessible ».

Cela implique notamment qu’elle soit formulée en des termes simples, adaptés au public visé.

Pour rappel, l’Autorité de Contrôle néerlandaise avait condamné en 2021 la société « TikTok » au paiement d’une amende de 750.000 euros pour ne pas avoir mis à disposition des adolescents inscrits sur l’application une information adaptée à leur âge et dans leur langue maternelle.

Les personnes concernées doivent aussi pouvoir consulter facilement votre politique de protection des données. A ce sujet, la CNIL préconise de recourir à une notice d’information accessible :

  • En plusieurs niveaux : c’est-à-dire de fournir rapidement les informations globales sur le traitement de données avant de renvoyer vers une description plus précise de ses conditions de mise en œuvre.
  • Sur différents canaux : liens, menus dépliants, « pop-up », icônes et vidéos d’explications, etc.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] En cas de collecte indirecte de données, votre politique de confidentialité devra également faire apparaître les catégories de données obtenues ainsi que leur source.

De même, si l’ensemble de ces informations doit être délivré aux personnes concernées au moment du recueil de leurs données en cas de collecte directe, elles doivent en principe leur être fournies « dès que possible » en cas de collecte indirecte – c’est-à-dire au 1er contact avec la personne concernée ou au plus tard dans un délai d’un mois.

Contrôlez le recueil du consentement des personnes concernées

Si certains traitements de données ont pour base légale le consentement, il vous appartient :

► D’organiser le recueil du consentement des personnes concernées [3]

Ce fondement juridique suppose que leur autorisation à la collecte et l’exploitation de leurs données personnelles résulte d’une déclaration ou d’un acte positif clairs.

Exemples :

▪ Sont considérées comme satisfaisantes les pratiques suivantes : le fait de cocher une case lors de la consultation d’un site, d’opter pour certains paramètres techniques d’application, de remplir un formulaire d’autorisation…

▪ Sont exclues les modalités de recueil du consentement suivantes : les cases pré-cochées par défaut, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), les consentements tirés de l’inaction de l’individu (l’absence de réponse à un courriel sollicitant le consentement)…

Afin d’être valable, le consentement doit répondre à quatre conditions cumulatives essentielles. Il doit être :

Libre – La personne concernée ne doit pas avoir été contrainte ni influencée de donner son consentement. Elle doit pouvoir refuser le traitement de ses données personnelles sans avoir à subir de répercussions négatives de ce refus.

Spécifique – Lorsque le traitement poursuit divers objectifs, un consentement distinct doit pouvoir être donné pour chacun de ces buts spécifiques.

Éclairé – La personne concernée doit avoir parfaitement conscience de la portée de son accord.

Univoque – Le consentement doit être exprimé sans ambiguïté.

Il vous appartient de justifier auprès des autorités de contrôle que vous avez bien obtenu le consentement licite des internautes dont vous manipulez les données.

Il est donc absolument indispensable que vous vous dotiez de moyens techniques permettant d’attribuer le consentement donné à son véritable auteur, ainsi que de dater précisément le moment du recueil voire du retrait du consentement – en prévention d’éventuelles contestations à ce sujet.

► D’organiser la modification et l’éventuel retrait de leur consentement

Vous êtes tenu de prendre toutes les mesures nécessaires pour permettre aux personnes concernées de retirer simplement et à tout moment le consentement initialement donné [4].

Exemple : Paramétrages d’application, lien de désabonnement au sein des newsletters ou mails publicitaires…

Vous devrez évidemment tirer toutes les conséquences de ce retrait, à savoir notamment :

·      Cesser immédiatement le traitement des données personnelles de l’auteur de cette rétractation ;

·      Effacer les données traitées, sur demande de la personne concernée et si aucune autre finalité ne justifie leur conservation (article 17(1)(b) RGPD).

► De documenter votre gestion efficace des consentements, conformément au principe “d’accountability”[5]

[3] ATTENTION – Le recueil du consentement des mineurs est soumis à des règles particulières, non détaillées au sein de cet article.

[4] Étant observé que cette rétractation n’aura pas pour effet de compromettre la licéité des traitements fondés sur le consentement mis en œuvre avant ce retrait.

[5] Le principe « d’accountability » est un principe de responsabilité sous-tendant que vous vous conformiez aux exigences en matière de protection des données d’une part, et que vous soyez en capacité de démontrer cette conformité en toutes occasions d’autre part.

Veillez à la bonne gestion de vos cookies et autres traceurs

Les cookies sont des fichiers informatiques émis par une page Internet, et transmis jusqu’au téléphone ou l’ordinateur de l’utilisateur. Ils sont ensuite stockés sur les serveurs de cet équipement terminal, et y collectent de nombreuses données personnelles.

Certains cookies techniques sont dits « obligatoires », en ce qu’ils sont indispensables au bon fonctionnement et à la sécurité du site Web.

D’autres, « non nécessaires », permettent d’optimiser les fonctionnalités du site et d’en adapter le contenu pour améliorer l’expérience de chaque usager (ciblage publicitaire, études statistiques sur les habitudes d’utilisation des internautes…)  [6].

Dans le cadre de votre conformité, nous vous recommandons à ce sujet :

D’informer les personnes concernées des principales caractéristiques des traitements de données issues de ces traceurs.

Nous vous invitons à rédiger une politique de confidentialité spécifique à votre gestion des cookies, distincte de votre politique générale de protection des données.

  • De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

  • De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [7].

  • De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [1].

Appréhendez correctement votre prospection commerciale

Selon la nature de votre client potentiel et le moyen de communication employé pour le contacter, la base légale du consentement peut vous être imposée pour ce traitement de données … avec toutes les conséquences que cela génère pour votre conformité [8] !

  • ATTENTION – En réaction aux réclamations relatives aux publicités non sollicitées subies quotidiennement par de nombreux particuliers, la CNIL a érigé la prospection commerciale comme l’un de ses thèmes prioritaires de contrôle pour l’année 2022. Ces pratiques feront l’objet d’une surveillance accrue.

Assurez-vous de respecter les règles propres au paiement en ligne

Si votre site Internet permet à vos clients de commander des biens ou des services en ligne, il vous appartient de prendre toutes les précautions nécessaires pour leur offrir un moyen de paiement dématérialisé conforme aux exigences du RGPD.

En cas de paiement ponctuel [9], nous vous invitons notamment à vérifier :

  • Que seules les données strictement autorisées sont collectées, à savoir le numéro, la date d’expiration et le cryptogramme visuel de la carte bancaire ;
  • Que, sauf consentement du client, ces données ne sont pas conservées une fois la transaction finalisée ;
  • Que des mesures de sécurité supplémentaires ont été instaurées pour éviter la compromission de ces données personnelles (mécanisme d’authentification renforcé, camouflage de tout ou partie de numéro de la carte lors de son affichage, etc.).

  • RGPD-Experts met à votre disposition ses outils et les compétences de professionnels reconnus pour vous permettre de rédiger en toute simplicité les mentions légales de votre site, de formuler votre politique de protection des données ou simplement de vous guider dans la conformité de votre page Web.Nous vous invitons à vous rapprocher de nos services pour bénéficier d’un accompagnement fiable et complet dans la mise en œuvre de vos projets en ligne..

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[7] Source : https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

[8] Ce en application de l’article L.34-5 du Code des postes et des communications électroniques. Si cette problématique vous intéresse, vous pouvez en apprendre davantage à travers notre publication : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[9] Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

   L’Union Européenne donne le « la » en matière de réglementation des services et marchés numériques

La digitalisation de notre économie et la dématérialisation de nos relations humaines se sont démocratisées au point que nous en oublierions presque l’ampleur du phénomène.

Des sites de vente en ligne à l’omniprésence des publicités sur Internet, en passant par les applications de paiement à distance et les réseaux sociaux : ces fonctionnalités – un temps regardées comme de véritables innovations – se sont depuis largement banalisées.

Or, une fois de plus, le monde juridique peine à suivre le rythme de ces progrès technologiques.

Si les législateurs ne peuvent pas aller plus vite que la musique, les textes européens en vigueur en la matière s’avèrent anachroniques. De fait, les règles applicables aujourd’hui trouvent encore leur source dans une directive du 08 juin 2000 dite « Directive sur le commerce électronique »[1] & [2]

Il est donc temps de changer de disque ! La Commission européenne a proposé en décembre 2020 deux résolutions destinées à moderniser et à harmoniser les normes actuelles régissant ce domaine.

Elles ont pour ambition de confirmer les principes essentiels de la directive sur le « e-commerce », tout en la réformant en profondeur afin de l’adapter aux évolutions économiques et sociétales intervenues depuis les années 2000.

Ce « paquet législatif » est composé de deux propositions complémentaires, à savoir :

  • Une législation sur les services numériques, aussi connue sous le nom de « Digital Services Act » (DSA).
  • Une législation sur les marchés numériques, appelée également « Digital Markets Act » (DMA).

Ces textes ne sont d’ailleurs pas remis en cause par l’adoption du paquet législatif européen sur les services et marchés numériques.

Le 24 mars 2022, le Conseil et le Parlement européens se sont accordés sur les mesures contenues dans la proposition de législation sur les marchés numériques.

Puis, le 23 avril 2022, ces institutions ont cette fois donné sans tambour ni trompette leur accord politique provisoire pour la législation sur les services numériques.

Comment ce paquet législatif entend-t-il orchestrer les espaces numériques utilisés par les citoyens européens ?

 

Encore un petit bémol…    

Nous attirons votre attention sur le fait que, même si les risques sont faibles, ces mesures peuvent encore être modifiées !

Ces législations n’ont en effet pas été définitivement adoptées. Les accords provisoires intervenus les concernant doivent encore être approuvés par le Conseil et le Parlement européen.

A l’issue de ce vote, le règlement sur les marchés numériques devrait être mis en œuvre dans un délai de six mois après son entrée en vigueur.

Quant à la proposition sur les services numériques, l’approbation du « Comité des représentants permanents » est requise avant son adoption formelle. Il est prévu que ce texte entre en vigueur 20 jours après sa publication au Journal officiel de l’Union Européenne. Il aura ensuite vocation à s’appliquer dans les quinze mois suivants, ou à compter du 1er janvier 2024, la date la plus tardive étant retenue[3].

La proposition de règlement sur les services numériques a vocation à s’appliquer en complément et parallèlement au Règlement Général sur la Protection des Données (RGPD).

Aux termes de l’article 1(5) de la Proposition de règlement formulée en décembre 2020, ce texte s’entend également sans préjudice des règles établies par les actes suivants :

« (a) la directive 2000/31/CE [sur le commerce électronique] ;

(b) la directive 2010/13/CE [sur les services de médias audiovisuels] ;

(c) le droit de l’Union sur le droit d’auteur et les droits voisins ;

(d) le règlement (UE) …/… relatif à la prévention de la diffusion de contenus à caractère terroriste en ligne [une fois adopté] ;

(e) le règlement (UE) …/… relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, et la directive (UE) …/… établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale [une fois adoptés] ;

(f) le règlement (UE) 2019/1148 ;

(g) le règlement (UE) 2019/1150 [promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne] ;

(h) le droit de l’Union en matière de protection des consommateurs et de sécurité des produits, notamment le règlement (UE) 2017/2394 ».

Le champ d’application du règlement sur les marchés numériques est lui aussi particulièrement large, puisqu’il n’aspire pas à remettre en cause les articles 101 et 102 du Traité sur le Fonctionnement de l’Union Européenne en matière de lutte contre les pratiques anti-concurrentielles, ou toute autre législation nationale en vigueur à ce sujet.

La directive (UE) 2018/1972 du 11 décembre 2018 établissant le Code des communications électroniques européen n’est pas davantage abrogée du fait de l’adoption de ce paquet législatif.

Loin d’assurer une protection accrue des utilisateurs de services en ligne, cette superposition de réglementations risque à l’inverse d’être source de confusion.

Les dispositions contradictoires de ces différentes législations offriront autant de failles dans lesquelles pourront s’engouffrer les plateformes de réseaux sociaux et les moteurs de recherche pour échapper à leur responsabilité, au détriment des internautes.

L’encadrement à outrance de ces mesures, que l’Union Européenne souhaiterait être réglées comme du papier à musique, pourrait bien tourner en véritable cacophonie juridique !

[1] « Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur ».   

[2] L’Union Européenne avait toutefois déjà commencé à encadrer progressivement certains secteurs du marché numérique, notamment à travers le « Règlement 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne », ou encore la « Directive 2015/2366 du 25 novembre 2015 concernant les services de paiement en ligne ».

[3] Étant précisé que les obligations incombant aux très grandes plateformes en ligne et très grands moteurs de recherche s’appliqueront à l’issue du 4ème mois à partir de la date à laquelle ils auront été désignés comme tels.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

 

Tenir à jour un registre de ses activités de traitement, respecter les droits des personnes concernées ou encadrer ses relations de sous-traitance : à coups d’articles de sensibilisation, ces grands principes édictés par le Règlement Général sur la Protection des Données (RGPD) commencent à être pleinement intégrés par les organismes traitant des données personnelles.

D’autres impératifs issus de ce texte n’ont malheureusement pas bénéficié de la même publicité.

Tel est notamment le cas de l’Analyse d’Impact relative à la Protection des Données ou « AIPD ». Grande oubliée des campagnes de communication, cette notion n’en demeure pas moins une obligation légale pour les responsables de traitement, et mérite à ce titre d’être elle aussi mise en lumière.

Qu’est-ce que cette mesure préventive ?

L’AIPD [1] est un processus consistant à décrire le traitement de données envisagé, avant son instauration, pour évaluer ses risques pour les personnes concernées et réfléchir sur ses conditions de mise en œuvre.

L’analyse d’impact est donc un outil précieux de responsabilisation. Elle aide le responsable de traitement à identifier en amont les possibles lacunes des opérations de traitement projetées, et lui permet ainsi d’adopter les mesures rectificatives requises pour agir en toute conformité.

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Tout traitement de données personnelles ne doit pas faire l’objet d’une AIPD. En application de l’article 35 du RGPD, seuls sont concernés ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Toute la question est donc de savoir ce que recouvre cette expression de « risque élevé pour les droits et libertés » ?

Ce risque s’entend généralement d’un événement redouté qui, s’il survenait, aurait des conséquences particulièrement néfastes pour les individus dont les données personnelles sont exploitées. Le type de dommage pouvant être subi par les éventuelles victimes est indifférent pour caractériser ce danger [2]

La nature du dommage craint est elle aussi indifférente. Il peut s’agir d’un préjudice d’ordre moral, physique, financier ou matériel.

L’équation est la suivante :

 

Niveau de risque = vraisemblance du risque X gravité du risque

Autrement dit, il est possible de baisser le niveau de risque en diminuant soit la probabilité qu’il advienne, soit l’ampleur des préjudices encourus par les personnes concernées s’il devait se manifester.

Mais encore ?…

Pas toujours évidemment de savoir si un traitement de données répond à cette définition. Afin de conclure s’il y a lieu ou non de mener une AIPD, nous vous conseillons de suivre le raisonnement suivant :

ÉTAPE 1  :

Vérifier si votre traitement figure expressément parmi ceux pour lesquels la CNIL [3] estime qu’une AIPD est requise ou, au contraire, exclue. Afin d’accompagner les professionnels dans leurs démarches, l’autorité de contrôle a en effet publié :

  • Une liste non exhaustive d’activités pour lesquelles elle jauge qu’une AIPD est nécessairement requise.

La liste complète de ces activités est disponible à l’adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Dans ce cas, nous vous recommandons de vous conformer à la doctrine de l’autorité régulatrice et de réaliser une analyse d’impact.

  • Une liste non exhaustive d’activités qu’elle considère comme étant exemptées d’AIPD.

L’énumération complète de ces activités est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf

Dans ce cas, il existera une forte présomption que vous n’ayez pas à mener une telle AIPD.

Toutefois, la présence de votre opération projetée sur cette liste ne doit pas vous empêcher de vous poser les questions prévues à l’étape 2.

Par exception, aucune analyse de risque n’est exigée lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

   1° Ce traitement soit prévu par la législation européenne ou nationale ;

   2° Que les textes constituant sa base juridique réglementent l’opération de traitement en question ;

   3° Qu’une AIPD ait déjà été menée lors de l’adoption de ce fondement juridique.

ÉTAPE 2  : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

 

Ce processus a vocation à déterminer si le traitement est de nature à porter atteinte aux droits et libertés des personnes, en particulier « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (art. 35 RGPD).

Selon les lignes directrices du Comité Européen de la Protection des Données[4], une AIPD doit être effectuée si le traitement remplit au moins deux des neufs critères suivants, à savoir qu’il implique :

  1. Une évaluation ou notation, y compris les activités de profilage et de prédiction ;

(Exemple : les traitements analysant les préférences des consommateurs sur un site en ligne afin de cibler leurs publicités selon leur profil marketing)

  1. Une prise de décision automatisée avec effet juridique ou effet similaire significatif ;

(Exemple : les traitements utilisés pour définir les conditions d’une police d’assurance, plus ou moins avantageuses en fonction des risques relevés dans la situation du souscripteur)

  1. Une surveillance systématique ;

(Exemple : les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées ou une zone géographique donnée, tels que les réseaux de vidéosurveillance ou de vidéoprotection)

  1. Une collecte de données sensibles ou données à caractère hautement personnel ;

(Exemple : données pénales, à caractère sexuel, données de santé / biométriques / génétiques, données syndicales ou politiques, données de religion, sur les origines, etc.)

  1. Une collecte de données personnelles à large échelle ;

Le CEPD précise que cette notion s’apprécie non seulement au regard du nombre de personnes concernées, mais également du volume de données traitées, de l’étendue géographie et temporelle de l’activité de traitement, du caractère proportionné de l’échantillon d’individus ciblés, etc.

  1. Un croisement de données ;

Tel est le cas si le traitement de données met en relation plusieurs informations personnelles collectées auprès d’un individu dans des contextes différents.

  1. Des données personnelles d’individus vulnérables ;

( Exemple : personnes âgées, malades ou handicapées, mineurs, demandeurs d’asile, mais aussi les salariés dans leurs rapports avec leur employeur, compte tenu du déséquilibre des pouvoirs existant entre eux.)

  1. Un usage innovant des données ou l’utilisation de nouvelles solutions technologiques ;

(Exemple : systèmes de reconnaissance faciale ou d’empreintes digitales, d’intelligence artificielle.)

  1. L’exclusion du bénéfice d’un droit/contrat.

(Exemple : les traitements utilisés dans le cadre de l’attribution ou du refus d’octroi de crédit bancaire)

Selon le CEPD, cette règle n’a pas vocation à être interprétée strictement.

Vous pouvez ainsi décider de conduire une AIPD alors même qu’un seul des neufs critères serait rempli, si vous estimez que le traitement présente malgré tout un risque élevé pour les droits et libertés des personnes concernées. A l’inverse, vous pouvez également considérer que, bien que votre traitement satisfait au moins deux de ces critères, une AIPD ne serait pas requise. 

ATTENTION – Le fait de réaliser une analyse de risque ainsi que la décision finale de mener ou non une AIPD à l’issue de cette analyse de risque sont laissés à la libre appréciation du responsable de traitement.

Charge à lui de justifier, en cas de contrôle, les arguments juridiques et de fait pris ayant conduit à sa décision.

Alors comment mener une AIPD si celle-ci s’impose ?

Les acteurs de l’AIPD

L’obligation de mener une AIPD incombe au seul responsable de traitement.

Toutefois, les textes précisent que celui-ci doit, à cette occasion, se faire entourer :

  • Du Délégué à la Protection des Données de l’organisme, s’il en a été désigné un. Ce dernier est investi d’une mission de conseil et sera tenu de superviser le déroulement de l’analyse.
  • De ses sous-traitants, qui ont le devoir de l’assister durant ce processus et de coopérer avec lui.
  • Il peut aussi, s’il le souhaite, demander leurs avis directement aux personnes concernées.

Nous vous recommandons également de consulter les membres impliqués de votre personnel, afin d’obtenir un retour terrain des modalités de mise en œuvre du traitement analysé (le fournisseur du produit ou logiciel utilisé, les collaborateurs appelés à manipuler les données, le responsable de la sécurité des systèmes d’information, les opérateurs techniques et de maintenance, etc.)

Le contenu de l’AIPD 

L’AIPD doit impérativement faire figurer les mentions obligatoires suivantes (art. 35 RGPD) [5] :

  • Une description des principales caractéristiques du traitement envisagé: nature des opérations projetées, finalités du traitement, volume et catégories de données devant être traitées, volume et catégories des personnes ciblées, ainsi que toute information relative aux aspects techniques et opérationnels de mise en œuvre du traitement (matériel utilisé, cartographie des flux de données, mesures de protection instaurées, etc.),
  • Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à l’objectif poursuivi,
  • Une évaluation des risques pour les droits et libertés des personnes concernées: quelle est la probabilité que survienne une atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles traitées ? Quelles seraient les répercussions d’un tel incident pour les potentielles victimes ?
  • Les mesures envisagées pour faire face aux risques identifiés, et les garanties adoptées par le responsable de traitement pour assurer la sécurité des données manipulées et sa conformité.

L’AIPD est un processus itératif. Il conviendra de réévaluer le risque tout au long de la vie du traitement.

Les éléments relatifs aux AIPD menées par votre organisme figurent parmi la documentation justifiant de votre conformité. Il convient donc de conserver précieusement toutes les pièces dont vous disposez à ce sujet, à titre de preuve.

La possible consultation de l’autorité de contrôle

Le responsable de traitement doit consulter la CNIL lorsque les résultats de l’AIPD mettent en évidence que le niveau de risque pour les personnes concernées demeure élevé malgré les mesures préventives prises pour l’atténuer.

Or, dans ce contexte, la CNIL peut faire usage de ses pouvoirs de contrôle et de répression si elle estime que la mise en œuvre de ce traitement constituerait une violation du RGPD. Le choix de communiquer ou non son AIPD à l’autorité régulatrice pour avis n’est donc pas une question à prendre à la légère…

* * *

Trop souvent incomprise, cette obligation légale de mener une AIPD constitue pourtant un enjeu de taille pour les responsables de traitement.

Outre d’éventuelles sanctions pénales ou judiciaires, tout manquement aux règles relatives aux analyses d’impact est passible d’une amende administrative dont le montant peut s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant retenu (art. 83 du RGPD).

RGPD-Experts a mis en place une méthodologie fiable et efficace pour mener à bien ce processus fastidieux au sein de votre organisme. Notre modèle prend en considération les particularités de votre structure, afin d’aboutir à une analyse fiable et adaptée à votre propre situation.

Nous vous invitons à contacter nos services si vous souhaitez être accompagnés dans la conduite de vos AIPD, et ainsi éviter de devoir consulter la CNIL avant de mettre en œuvre vos traitements de données.

L.H


[1] Aussi appelée « Analyse d’impact sur la vie privée » ou « DPIA », de l’anglais « Data Privacy Impact Assessment ».

[2] Peu importe qu’il soit à craindre une violation de leur droit au respect de leur vie privée, à la protection de leurs données personnelles, ou de tout autre droit fondamental (interdiction des discriminations, libertés de conscience et d’expression, liberté syndicale…).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] A cet égard, nous vous invitons à lire l’annexe 2 des lignes directrices du Comité Européen de la Protection des Données précitées.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

Sanction d’un sous-traitant pour sa mauvaise gestion de données de santé

– Les méandres des pratiques de la société DEDALUS BIOLOGIE –

 

 Par sa décision symbolique du 15 avril 2022, la CNIL [1] a mis un stop aux manquements de la société DEDALUS BIOLOGIE en matière de protection des données.

Le dictionnaire “Le ROBERT” définit un dédale comme « le lieu où l’on risque de s’égarer à cause de la complication des détours. Ensemble de choses embrouillée ».

Force est de constater que DEDALUS BIOLOGIE porte bien son nom. Après avoir emprunté des chemins tortueux pour commercialiser ses solutions logicielles à destination des laboratoires d’analyses médicales, cette entreprise s’est finalement vue barrer net sa route par l’autorité de contrôle française.

AU DÉPART…  Retour sur le contexte de l’affaire

Le 23 février 2021, le journal LIBÉRATION dénonçait la présence sur un forum du “darknet”[2] d’un fichier contenant les informations personnelles de près de 500.000 individus.

Au-delà d’éléments d’ordre administratif, des données particulièrement sensibles concernant les victimes de cette publication ont été révélées au grand jour, et notamment des données relatives à leur santé. En l’occurrence, les renseignements suivants y figuraient :

  • L’identité et les coordonnées des médecins ayant prescrit les examens biologiques réalisés ;
  • L’identité et les coordonnées des préleveurs ;
  • L’état civil des patients, mais aussi leur numéro de sécurité sociale, les données relatives à leur mutuelle (dont leurs identifiants pour se connecter à leurs comptes individuels) ainsi que des commentaires libres concernant leurs pathologies ou leur suivi médical (diagnostics de VIH, cancers, maladies génétiques ; état de grossesse ; traitements médicamenteux en cours, etc.).

Afin de limiter au maximum les conséquences de cette divulgation pour les personnes concernées, la Présidente de la CNIL a été contrainte d’agir en justice en urgence. Le 4 mars 2021, le juge des référés du Tribunal Judiciaire de Paris a ainsi enjoint à différents fournisseurs d’accès à Internet de bloquer par tous moyens l’accès à ce fichier en ligne.

Les investigations menées par la Commission ont permis retrouver la trace du partenaire commercial des deux laboratoires d’où provenaient ces informations sensibles, à savoir la société DEDALUS BIOLOGIE.

 

Les malheureux raccourcis empruntés par la société DEDALUS BIOLOGIE pour assurer sa conformité

La CNIL avait déjà, par le passé, condamné conjointement un responsable de traitement et son sous-traitant[3].

La décision de la Commission du 15 avril 2022 est tout à fait singulière puisqu’ici seul le sous-traitant a été poursuivi[1]. Les laboratoires, à qui DEDALUS BIOLOGIE ne faisait que mettre à disposition un outil d’aide à la mise en œuvre de leurs traitements de données et en assurer la maintenance, n’ont fait l’objet d’aucune sanction.

 

Si l’autorité de contrôle n’indique pas expressément les raisons de cette exemption de responsabilité, il semblerait que cette mesure de faveur découle – comme il le sera expliqué par la suite :

  • D’une part, du fait que la société DEDALUS BIOLOGIE transmettait elle-même à ses clients ses propres conditions générales de vente, faisant office d’encadrement contractuel au titre du Règlement Général sur la Protection des Données (RGPD) ;
  • D’autre part, du fait que DEDALUS BIOLOGIE a excédé les instructions données par le responsable de traitement lors de la manipulation des données qui lui avaient été confiées.

La publicité attachée à la décision de la CNIL poursuit vraisemblablement un double objectif. Au-delà de sa portée individuelle, en ce qu’elle ajoute une sanction réputationnelle à la sanction pécuniaire prise contre DEDALUS BIOLOGIE, elle lance un avertissement à l’ensemble des sous-traitants.

La Commission affiche ainsi sans détours que ces derniers sont, eux aussi, susceptibles de voir leur responsabilité engagée, ce indépendamment de celle du responsable de traitement.

La Commission n’y est pas allée par quatre chemins pour justifier le montant particulièrement élevé de l’amende d’1,5 million d’euros prononcée contre DEDALUS BIOLOGIE. Selon elle, cette somme est tout à fait proportionnée au regard du chiffre d’affaires annuel conséquent de la société, estimé à 16,3 millions d’euros en 2020.

La souhaitant volontairement dissuasive, l’autorité régulatrice estime que la sévérité de cette condamnation est justifiée compte tenu de la gravité des manquements imputables à l’entreprise, du nombre de victimes et des conséquences préjudiciables de la violation de données subie par ces dernières.

1er égarement reproché à DEDALUS BOLOGIE : l’encadrement insuffisant de ses relations de sous-traitance

  • L’imprécision des documents formalisant la relation de sous-traitance

Le RGPD ne se contente pas d’imposer que les relations entre le responsable de traitement et chacun de ses sous-traitants soient formalisées par un acte juridique contraignant. Le contenu de ces écrits est également précisément défini par la législation européenne en termes de protection des données.

En l’espèce, la société DEDALUS BIOLOGIE et les laboratoires justifiaient bien avoir signé entre eux divers documents destinés à régir les modalités de leurs partenariats.

Pour autant, ni les conditions générales de vente proposées par DEDALUS BIOLOGIE, ni ses contrats de maintenance ne comportaient les mentions devant obligatoirement y figurer en application de l’article 28 du RGPD (telles que la description générique des traitements de données concernés par l’activité de sous-traitance, les droits et obligations respectifs des parties : devoir de confidentialité, d’assurer la sécurité des données, devoir de coopération, hypothèses de sous-traitance en cascade, etc.).

Pire, ces écrits faisaient référence à des dispositions obsolètes de la loi « Informatique et Libertés ».

DEDALUS BIOLOGIE a fait valoir qu’elle était en bonne voie de régulariser la situation, et avait rédigé de nouveaux modèles de contrats conformes. La CNIL considère toutefois ces efforts incomplets tant que l’intégralité des clients actuels de la société ne se sont pas vus remettre ces actes actualisés, quitte à devoir les renégocier…

  • Le dépassement des instructions données par le responsable de traitement

L’article 29 du RGPD n’autorise le sous-traitant à traiter les données du responsable de traitement que sur instructions de celui-ci et conformément à ses instructions.

En l’occurrence, les laboratoires avaient demandé à la société DEDALUS BIOLOGIE de faire migrer une liste précise des données de leurs patients de l’ancienne version de leur logiciel vers une plus récente. Or, leur prestataire a excédé ces consignes, tant en ce qui concerne le volume que les catégories de données extraites.

DEDALUS BIOLOGIE a indiqué que la solution qu’elle utilise pour réaliser ces transferts ne lui permettait pas de filtrer les informations à migrer, de sorte qu’elle était contrainte d’exporter la totalité de la base de données des centres d’analyses médicales.

La CNIL écarte cet argument. Elle affirme que DEDALUS BIOLOGIE ne peut pas invoquer le fait d’avoir usé d’un outil ne tenant pas la route pour se justifier d’avoir outrepassé les instructions du responsable de traitement.

2ème égarement reproché à DEDALUS BOLOGIE : les divers manquements à son obligation d’assurer la sécurité des données

L’autorité de contrôle relève que la société DEDALUS BIOLOGIE a sérieusement manqué à son obligation de prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données qui lui avaient été confiées, tel que le prévoit l’article 32 du RGPD.

Elle souligne que le sous-traitant a fait fausse route à de nombreux égards, notamment en raison de :

  • « L’absence de procédure spécifique pour les opérations de migration de données » ;

La CNIL insiste sur le fait que ces protocoles ne sont pas uniquement symboliques, et destinés à afficher le prétendu intérêt porté par l’organisme à sa conformité. Ils constituent une aide concrète, et permette que la réalisation d’une telle opération de migration s’effectue dans le respect de la législation en vigueur en matière de protection des données, en décrivant les étapes à suivre pour réaliser cette tâche ainsi que les rôles et responsabilités associées des différents intervenants.

  • « L’absence de chiffrement des données personnelles stockées » et « l’absence d’effacement automatique des données après migration vers l’autre logiciel » ;

Les informations extraites étaient ainsi transférées « en clair », c’est-à-dire lisibles directement par tous – aggravant d’autant les dommages susceptibles d’affecter les personnes concernées en cas de violation de données.

  • L’accès libre depuis Internet, sans authentification, à certaines données hébergées aux fins de migration dans la zone publique du serveur de DEDALUS BIOLOGIE et « l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur » ;

Dans ces conditions, les risques d’intrusion dans les fichiers traités par la société DEDALUS BIOLOGIE et de compromission des informations manipulées étaient donc particulièrement à craindre.

  • « L’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur ».

Les connexions suspectes à la base de données du sous-traitant n’étaient, de ce fait, pas détectées.

Mais surtout, la Commission érige en circonstance aggravante le fait que ces failles de sécurité ont perduré malgré les avertissements adressés à la société DEDALUS BIOLOGIE en ce sens.

Dès le mois de mars 2020, un salarié de l’entreprise avisait ainsi ses supérieurs sur les nombreuses vulnérabilités qu’il avait identifiées dans les systèmes informatiques déployés par l’organisme.

Face à l’absence de réaction de ses chefs, ce lanceur d’alerte aurait d’ailleurs prévenu les autorités avant de se faire curieusement licencier pour « fautes graves »[5].

Puis, en novembre 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI[6]) signalait à son tour à la société la mise en vente de données anonymisées de certains patients des laboratoires sur le “darknet”.

DEDALUS BIOLOGIE n’a cependant donné aucune suite à ces alertes. Cette indifférence a conduit la société tout droit dans l’impasse dans laquelle se trouve aujourd’hui.

À L’ARRIVÉE : l’importance de se faire accompagner dans sa conformité pour ne pas se tromper d’orientation

DEDALUS BIOLOGIE a été affectée par cette affaire à plus d’un titre. La sanction prononcée par la CNIL s’ajoute en effet à la cyberattaque dont elle a été victime, et à l’origine de la publication de ses bases de données.

L’auteur de ce piratage n’a d’ailleurs pas encore été identifié à ce jour.

Or, ces deux événements désastreux auraient pu être évités si la société avait mis en œuvre les mesures internes qui s’imposaient pour préserver ces données.

Ne vous perdez pas en chemin dans l’application quotidienne des impératifs issus du RGPD au sein de votre structure, comme a pu le faire DEDALUS BIOLOGIE.

L’essor économique et commercial d’une entreprise implique aujourd’hui nécessairement de prendre en compte les exigences nouvelles des citoyens en matière de protection de leurs données personnelles.

Si vous ne souhaitez pas trouver d’embuches sur votre route, il est important de vous faire guider par des professionnels capables d’adapter vos démarches de conformité à la stratégie de développement de votre entité.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Selon le dictionnaire “LAROUSSE”, le darknet est un « ensemble de réseaux permettant de partager de manière anonyme des données cryptées inaccessibles aux moteurs de recherche traditionnels », soit une forme d’Internet clandestin. En ce sens, il est lieu d’un grand nombre d’activités illégales (pédophilie, trafic d’armes, terrorisme, etc.).

[3] Pour plus d’informations concernant la condamnation récente d’un sous-traitant, faute pour lui d’avoir recherché les mesures adéquates pour assurer la sécurité des données personnelles et d’avoir proposé ces solutions au responsable de traitement, nous vous invitons à consulter l’article suivant : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante :

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all

[5] Selon les journalistes du site de presse en ligne “Next INpact” dans un article dédié, publié à l’adresse suivante : https://www.nextinpact.com/article/43405/un-leader-europeen-donnees-sante-licencie-lanceur-dalerte-pour-faute-grave

[6] L’ANSSI est l’autorité nationale chargée « d’accompagner et de sécuriser le développement du numérique ». Elle s’inscrit à cet égard comme acteur majeur dans le domaine de la cybersécurité, et assure notamment un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Dossier médical partagé et protection des données personnelles :

C’EST GRAVE DOCTEUR ?

 

Après de nombreux échecs, le “Dossier médical partagé” se refait une santé !

Le 3 février dernier, le gouvernement inaugurait sa nouvelle plateforme “Mon Espace Santé” (MES).

Cet outil, accessible via Internet après authentification, vise à aider ses utilisateurs à gérer leurs données de santé et à construire leurs parcours de soins avec les professionnels de santé.

Plutôt que de laisser à chaque citoyen le choix de recourir ou non à ce service public en ligne, comme il l’avait fait pour sa première version, le gouvernement a cette fois opté pour une méthode beaucoup plus radicale.

Depuis le début de l’année 2022, l’Assurance maladie communique ainsi à tous ses affiliés leurs identifiants personnels pour activer ce nouveau dispositif. A défaut de connexion ou d’opposition de la personne concernée dans les six semaines suivant la réception de ce courrier/courriel d’information, un compte individuel lui est automatiquement créé sur cet “Espace Numérique de Santé” [1].

 

Quelles sont les fonctions projetées de « Mon Espace Santé » ?

Prenons la température des objectifs et paramètres de cette plateforme.

Toutes les fonctionnalités de cette interface ne sont pas encore disponibles, tels que l’agenda e-santé et le catalogue d’outils et de services, pourtant prévus par les textes. A terme, cette solution regroupera les configurations suivantes[2] :

Qui pourra accéder à « Mon Espace Santé » ?

Chaque utilisateur peut paramétrer son Espace Numérique de Santé afin de déterminer la liste des professionnels de santé autorisés à déposer des informations sur son compte, ou à en prendre connaissance. Les choix opérés par les assurés à cet égard sont, là encore, modifiables à tout instant.

Ces autorisations d’accès peuvent être temporaires ou définitives. Elles peuvent porter sur l’ensemble des données contenues dans l’application, ou être limitées à certains documents.

Quoi qu’il en soit, la communication des données renseignées sur cette plateforme ne peut en aucun cas être exigée par des tiers, en particulier lors de la conclusion d’un contrat – notamment d’assurance.

Et pour cause, en disposant de ces renseignements sensibles vous concernant, vos interlocuteurs seraient en mesure d’effectuer divers pronostics… et d’ajuster le montant de vos cotisations en fonction de vos risques de présenter, à plus ou moins long terme, des problèmes de santé. Des pratiques abjectes, mais qui ne sont malheureusement pas si anecdotiques !

Quid du « Dossier médical partagé » intégré dans l’ENS ?

Le “Dossier Médical Partagé” (DMP) constitue une sorte de carnet de santé digital. Il vise à « favoriser la prévention, la coordination, la qualité et la continuité des soins des personnes concernées »[3].

Il contient :

  • Les données versées par les praticiens autorisés à l’issue de leurs consultations: l’état des vaccinations du patient, ses synthèses médicales et paramédicales, comptes-rendus d’hospitalisation, résultats d’analyses biologiques ou d’examens d’imagerie médicale, les actes diagnostiques et thérapeutiques réalisés, etc.
  • Les données que le titulaire du compte a éventuellement lui-même ajoutées : ses allergies, ses antécédents familiaux, ses documents de santé émis avant l’ouverture de son Espace Numérique de Santé, ses volontés en matière de don d’organes ou ses directives anticipées, l’identité du proche à prévenir en cas d’urgence, etc.

Hormis le médecin traitant éventuellement désigné par le titulaire du compte – qui peut accéder à l’ensemble des données inscrites dans son Dossier Médical Partagé – les autres soignants devront impérativement avoir obtenu le consentement de leur patient pour s’y connecter[4].

Une dérogation est prévue en cas d’urgence. Si l’état du malade l’exige, tout professionnel de santé peut consulter son Dossier Médical Partagé sans son autorisation, à moins que celui-ci ait expressément indiqué s’y opposer dans ses informations personnelles.

Afin que les affiliés puissent s’assurer du respect de la confidentialité de leurs données personnelles de santé, la plateforme est équipée d’un outil de traçabilité des connexions. Lors de chaque intervention par un tiers sur son Espace Numérique de Santé, l’utilisateur reçoit ainsi en principe une notification reprenant la date, l’heure, l’action réalisée (dépôt de document, consultation, modification…) et l’identification de son auteur.

Un remède suffisant pour prévenir toutes dérives ? L’avenir nous le dira !

Quels sont mes droits en tant qu’utilisateur ?

Sur leur Espace Numérique de Santé comme sur leur Dossier Médical Partagé, les assurés peuvent naturellement exercer les droits qui leur sont reconnus par la législation en vigueur en matière de protection des données.

Étant les seuls gestionnaires de leurs comptes, ils peuvent à cet égard :

  • Extraire les données qui y figurent, en application de leur droit d’accès et de leur droit à la portabilité de leurs données ;
  • Les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • Effacer les renseignements qu’ils auraient eux-mêmes déposés[5] ;
  • Limiter le traitement de leurs données, en réduisant les droits d’accès des professionnels de santé ;
  • Clôturer à tout moment leur compte, en application de leur droit d’opposition.

Dans ce cas, les données contenues sur la plateforme seront conservées pendant une durée de 10 ans, sauf si le titulaire du compte sollicite spécifiquement leur suppression [6].

AVIS aux professionnels de santé !

Vous êtes amenés, en tant que soignant, à traiter chaque jour des données de santé ?

L’instauration de cette nouvelle version du “Dossier Médical Partagé” est susceptible d’impacter votre pratique au quotidien !

Notez qu’il est indispensable d’interroger vos patients sur la question de savoir s’ils vous autorisent à consulter et à alimenter leur compte personnel. A défaut, toute connexion à leur Dossier Médical Partagé constitue un accès illégitime, et vous expose à des sanctions judiciaires, pénales ou émanant des ordres professionnels.

Vous devez également respecter les droits dont bénéficient vos patients pour la protection de leurs données personnelles. A cet égard, vous êtes tenus répondre aux demandes d’accès et de rectification qui vous seraient adressées par ces derniers si vous êtes à l’origine du document objet de leur requête [7].

Nous attirons également votre attention sur le fait que, comme le rappelle l’article R.1111-40 du Code de la Santé Publique, le Dossier Médical Partagé ne se substitue pas au dossier que tient chaque professionnel de santé, quel que soit son mode d’exercice, dans le cadre de la prise en charge d’un patient.

Or, à cet égard, des règles spécifiques s’imposent compte tenu de la sensibilité des données que vous manipulez : mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques pour les droits et libertés des personnes concernées, recours à des prestataires agréés ou certifiés pour l’hébergement, le stockage ou la conservation des données de santé, etc.

Si vous n’êtes pas certains d’agir dans le respect de la législation en vigueur en matière de protection des données personnelles, il est encore temps de dresser le diagnostic de votre conformité !

A l’heure ou nous finissions la rédaction de cette article, la CNIL, publie une FAQ sur le sujet pour l’information du grand public, qui comme toujours est extrêmement clair que nous vous invitons à consulter en complément.

L.H

[1] Les utilisateurs peuvent néanmoins changer d’avis à tout moment, en demandant la clôture de leur Espace Numérique de Santé.

[2] Les conditions d’instauration et de mise en œuvre de cet Espace Numérique de Santé ainsi que du Dossier Médical Partagé inclus en son sein sont régies par les articles L.1111-13 et suivants et R.1111-26 et suivants du Code de la Santé Publique.

[3] Conformément à l’objectif défini à l’article L.1111-14 du Code de la Santé Publique (CSP).

[4] Cette autorisation sera alors réputée valoir pour tous les membres de l’équipe de soins à laquelle appartient ce professionnel habilité.

[5] Les utilisateurs ne peuvent toutefois pas retirer les documents versés sur leur compte personnel par des praticiens. Ils devront, dans ce cas, demander directement à l’auteur de l’information de la retirer.

[6] A l’inverse, si vous n’avez pas sollicité la destruction des renseignements vous concernant figurant dans l’application, il vous est possible de demander à tout instant, dans ce délai de 10 ans, le rétablissement de votre compte et de vos données de santé archivées.

[7] Article R.1111-51 du Code de la Santé Publique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

 

Le 5 avril 2022, la CNIL[1] rappelait avoir mis à disposition sur son site Internet un ensemble de documents explicatifs consacrés à l’Intelligence Artificielle (IA). Outre ses pouvoirs de contrôle, l’autorité régulatrice a pour mission d’informer le grand public sur divers sujets liés à la protection des données personnelles, ainsi que d’accompagner les professionnels dans leur conformité. Dans ce contexte, la Commission a jugé utile de vulgariser les connaissances des citoyens sur cette innovation nébuleuse qu’est l’Intelligence Artificielle.

La CNIL n’a évidemment pas sorti cette thématique de son chapeau par hasard.

Selon un sondage IFOP de 2017, 83% des Français auraient déjà entendu parler des algorithmes[2]. Toutefois, la moitié des personnes interrogées reconnaissait ne pas comprendre précisément en quoi consistent ces programmes. Pire, 64% d’entre elles s’avouaient inquiètes du développement de ces technologies.

D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes [3] et l’Intelligence Artificielle en 2017.

Si l’expression “Intelligence Artificielle” est fréquemment associée à un monde moderne et futuriste, elle ne relève pourtant pas du fictif. Comment cet univers surnaturel est-il devenu, justement, si naturel ?

L’intelligence Artificielle : supercherie ou véritable utilité ?

A ce jour, aucune définition officielle n’a été adoptée pour déterminer ce qu’englobe le terme d’ « Intelligence Artificielle ». Il est généralement entendu comme un domaine de la science tendant à permettre à des appareils électroniques de faire ce dont l’homme est capable moyennant une certaine intelligence.

Comme par enchantement (ou presque), votre ordinateur se voit ainsi en mesure de vous battre aux échecs, ou votre voiture autonome apte à vous conduire seule à bon port. Le Parlement Européen définit l’IA comme tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[4]. Ne vous bercez pas d’illusions, ces systèmes sont déjà omniprésents dans notre environnement.

Exemple 1 : Les agents conversationnels ou « ChatBots »

De nombreux organismes ont recours à des “ChatBots” dans le cadre de leurs relations avec les clients, notamment pour la gestion des réclamations ou la fourniture d’une assistance en ligne. Nous parlons bien de la « personne » avec qui vous conversez lorsque vous rencontrez un problème sur le site de votre banque, dans vos démarches dématérialisées, ou encore lorsque vous interrogez Siri, Google Assistant ou Alexa sur la météo de demain.

Ces robots conversationnels sont capables de comprendre la question qui leur est adressée en fonction de son contexte et d’y répondre de manière standardisée. Ils constituent des formes d’Intelligence Artificielle.

 

Capture d’écran d’un ChatBot sur le site de la Caisse d’Allocations Familiales

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

Ces techniques d’IA sont notamment utilisées à des fins de profilage en ligne. Elles permettent de vous proposer des contenus adaptés à vos préférences.

Exemples : suggestions de recherche sur le web, prédiction de mots sur vos claviers de portable, recommandations sur les réseaux sociaux ou les plateformes de streaming (musiques conseillées sur Deezer ou Spotify, liste de vidéos suggérées sur Netflix, etc.).

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Le marché regorge désormais d’applications destinées à aider les entreprises à améliorer et accélérer leurs procédures, que ce soit en interne (aide au recrutement, prédiction du « turn over » des salariés…) ou en externe (algorithme de calcul pour l’attribution ou non d’un prêt bancaire, des risques assurantiels…).

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

Afin de réaliser la tâche qui lui a été attribuée, la machine se voit d’un procédé automatisé reposant sur des algorithmes. Cette technique lui permet comme par magie, ou plutôt par l’application de règles mathématiques préalablement définies (des “modèles d’IA”), de générer une déduction ou une prédiction.

Grâce à ces modèles d’IA, l’appareil peut généralement étendre lui-même son champ de connaissances au fur et à mesure qu’il élargit sa base de données, par une méthode dite “d’apprentissage automatique“. Autrement dit, l’IA améliore sans cesse sa capacité à mimétiser les comportements humains à partir des informations qu’elle recueille progressivement. Ce tour de passe-passe repose donc sur la collecte et le traitement massifs de données potentiellement personnelles.

L’Intelligence Artificielle : un monde féérique ?

Si l’Intelligente Artificielle présente des avantages indéniables pour ses utilisateurs (gain de temps, d’énergie voire de fiabilité), sa mise en œuvre n’est toutefois pas sans risques. Ces algorithmes sont susceptibles de faire de nombreuses erreurs, qui peuvent être liées :

  • A la conception de leur système : les « biais discriminatoires »

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

Exemple : un échantillon de population insuffisamment large utilisé pour calibrer certains dispositifs de reconnaissance faciale peut induire des difficultés à identifier des individus de certaines origines ethniques.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

Exemple : inclure le sexe d’un candidat à l’embauche comme un critère de sélection, et non ses seules qualifications et compétences, est susceptible d’aboutir à une décision discriminante [5].

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Exemple : la machine constatant que, statistiquement, les individus décèdent très fréquemment dans leur lit pourrait en déduire à tort qu’il serait dangereux de dormir, plutôt que d’estimer qu’il lui manque une information supplémentaire à son analyse, à savoir l’état de faiblesse du défunt avant sa mort.

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

  • Soit les conséquences d’erreurs humaines dans l’écriture des programmes.

En effet, la logique de raisonnement assignée à l’appareil a été pensée par l’homme, avec toutes les déviances et la subjectivité que cela implique.

  • Soit le reflet de problèmes sociétaux actuels.

L’IA se fondant sur des statistiques issues de données réelles, elle a ainsi malheureusement tendance à reproduire voire à amplifier les inégalités de fait et discriminations existantes.

  • A leurs conditions d’utilisation

La mauvaise qualité des données (telle qu’une photo prise dans un lieu sombre pour une reconnaissance faciale) ou des défauts liés au matériel utilisé sont de nature à fausser les résultats de l’algorithme.

  • A leurs infrastructures ou à des défaillances informatiques « ordinaires » (piratage, endommagement des équipements terminaux, erreur humaine…)

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés. 

Les réflexes à adopter pour les utilisateurs 

Nous vous conseillons d’abord de vérifier systématiquement si vous interagissez avec un robot ou une personne réelle. En cas de doute, n’hésitez pas à questionner votre interlocuteur ou le service compétent.

Nous vous recommandons de limiter au maximum la transmission de vos données personnelles si cela n’est pas nécessaire (formulation de question générique, claire et simple dans un chatbot ; utilisation du mode « navigation privée » sur Internet pour limiter votre profilage selon votre historique, etc.). Gardez à l’esprit que la proposition ou suggestion émanant de la machine peut être erronée.

 

Afin de ne pas vous faire mener à la baguette, vous pouvez enfin exercer les droits qui vous sont reconnus pour conserver la maitrise de vos données personnelles, tel que votre droit d’information sur les caractéristiques principales de ces traitements de données.

L’article 22 du RGPD précise notamment que toute personne a le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Dans ce contexte, vous pouvez demander à connaître la logique sous-jacente à ces prises de décisions automatisées. Vous êtes aussi en droit d’exiger l’intervention d’une personne humaine dans le processus décisionnel, d’exprimer votre point de vue sur la décision ou de la contester.

Les réflexes à adopter pour les professionnels

Conformément au principe de minimisation des données et de protection des données dès la conception, nous vous invitons à concevoir vos algorithmes de manière à restreindre autant que possible la collecte d’informations personnelles des individus concernés[6].

Les responsables de traitement doivent également faire preuve de transparence à l’égard des personnes ciblées par ces systèmes d’IA. En ce sens, il y a lieu d’indiquer si elles correspondent avec un robot, d’expliquer la méthode de raisonnement globale appliquée par l’algorithme, et de motiver chacune des réponses ou décisions éventuellement prises grâce à ces dispositifs. Les professionnels sont aussi tenus de faire superviser l’utilisation de ces technologies par un humain.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

 » La Commission Européenne a adopté le 23 février dernier une proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données, plus connu sous le nom de “Data Act”. Ces dispositions visent notamment à créer un marché unique des données et à réguler les pratiques des plateformes numériques. »

De nombreux autres textes sont en cours de rédaction à l’échelle européenne afin d’encadrer davantage l’utilisation de l’Intelligence Artificielle, tels que :

  • Le Règlement ePrivacy, qui fixera les règles applicables en matière d’IA dans les services de communication électronique, et notamment sur les réseaux sociaux ;
  • Le Règlement sur l’Intelligence Artificielle proposé par la Commission Européenne en avril 2021, qui vise à trouver un juste équilibre entre le développement de ces technologies innovantes et la protection des données personnelles des citoyens européens.

Les lignes conductrices de ces législations en débat ont été publiées par les institutions compétentes. Nous vous invitons à vous inspirer dès maintenant des principes essentiels formulés par ces textes dans votre organisme, afin que votre mise en conformité s’effectue en un tour de main lorsqu’ils entreront en vigueur.

L.H


[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes et l’Intelligence Artificielle en 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[3] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[4] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[5] En effet, si l’entreprise n’a recruté que des hommes au cours des dernières années, l’algorithme est susceptible de conclure que la condition d’être de sexe masculin répond aux attentes de l’organisme.

[6] Le respect de ces impératifs se révèle d’autant plus important concernant le recueil de catégories de données sensibles ou susceptibles de conduire à des discriminations.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.