Euro numérique

Euro numérique : les recommandations de l’EDPB et l’EDPS

 

Le Comité Européen de la Protection des Données (En anglais « European Data Protection Board » ou EDPB) et le Contrôleur Européen de la Protection des Données (« European Data Protection Supervisor » ou EDPS) ont publié mercredi 18 octobre 2023 un avis conjoint sur la proposition de règlement relatif à l’euro numérique en cours de création par la Banque Centrale Européenne (BCE). Cet avis conjoint fait suite à la demande de la Commission Européenne.

Leurs recommandations visent à garantir les « normes les plus élevées en matière de protection des données à caractère personnel (DCP) et de la vie privée pour le futur euro numérique en cours de création par la BCE ».

Le sigle français CEPD étant le même pour désigner le Contrôleur et le Comité, nous utiliserons plutôt les abréviations anglaises EDPB et EDPS dans la suite de cet article.

RGPD-Experts vous livre son analyse

 

Le Comité Européen de la Protection des Données (EDPB) a pour mission d’harmoniser l’application du RGPD au sein des autorités de protection des données européennes, tout en encourageant leur coopération. Le Contrôleur Européen de la Protection des Données (EDPS) quant à lui, surveille la conformité des institutions et organes européens au RGPD.

La distribution imminente de l’euro numérique, en tant que monnaie légale, générera une multitude de traitements de données personnelles par divers acteurs publics et privés. Ces traitements auront inévitablement des répercussions sur la vie privée, les libertés individuelles et les droits des citoyens.

Avant la mise en circulation de l’euro numérique, le Comité et le Contrôleur jouent pleinement leur rôle en émettant des recommandations. L’objectif est de garantir le respect des réglementations en matière de protection des données, des personnes et des libertés individuelles. Les autorités insistent sur le principe de « privacy by design and by default » énoncé à l’article 25 du RGPD [1], exigeant la mise en place de mesures techniques et organisationnelles adéquates et proportionnées. Ces mesures visent à assurer la conformité au RGPD et à garantir la protection des droits des personnes concernées.

Contexte et rétrospective des 3 dernières années

 

En octobre 2020, la BCE (Banque centrale Européenne) a publié un rapport sur l’euro numérique, visant à consulter les parties prenantes et le grand public sur son projet de monnaie numérique, dans le but de répondre à la forte réticence des régulateurs financiers quant au développement des cryptomonnaies.

Le rapport fait part du constat de la BCE du déclin des paiements en espèces au profit des solutions de paiement numériques.

En recontextualisant : l’explosion des paiements numériques a été, sans aucun doute, favorisée par la pandémie de covid-19. Les paiements électroniques s’imposent du fait des confinements successifs dans toute l’Union Européenne (UE), de l’instauration de la « distance sociale » et des « gestes barrières », accompagnée de l’adoption générale du paiement sans contact, de l’essor d’e-commerce, des plateformes de livraison et du « click and collect ». Les banques ont d’ailleurs largement contribué au développement de ce mode de paiement en augmentant les seuils de paiement mais aussi en accélérant le déploiement de solutions de paiements sur mobile.

La valeur du Bitcoin – la cryptomonnaie ayant la plus forte capitalisation – a oscillé entre 4500€ et 57000€, avec de fortes variations à la hausse comme à la baisse entre début 2020 et fin 2022, démontrant une nouvelle fois sa volatilité. C’est un argument clé en main pour les banques centrales qui souhaitent réguler, voire verrouiller l’ensemble du marché.

Plusieurs cryptomonnaies appelées « stable coins », censées répliquer le cours des monnaies fiduciaires (comme le dollar) se sont effondrées en 2022. Terra USD et FTX par exemple, entraînant dans leur chute la ruine de nombreux investisseurs et la fragilité de tout « l’écosystème crypto » : les autres cryptomonnaies, les plateformes d’échange, et les entreprises impliquées.

Les banques centrales bénéficient donc d’un contexte plutôt favorable à l’accélération de la création de leurs propres monnaies numériques – Monnaies Numériques de Banques Centrales (MNBC) – dans lesquelles s’inscrit l’euro numérique de la BCE.

Si la BCE semble avoir une autoroute devant elle, elle devra dans tous les cas respecter les limitations de la collecte, des traitements, et de la conservation des données personnelles. Elle aura droit à différents rappels à la loi par les autorités.

Les résultats de la consultation de la BCE sont publiés en avril 2021. L’EDPB adresse dès le 18 juin 2021 une lettre aux institutions européennes concernant ce projet [2], où il y est déjà question de mise en œuvre du principe de « privacy by design and by default ».

Le 14 juillet 2021, la BCE annonce le lancement de son projet d’euro numérique : une phase pilote de deux ans et un objectif d’une mise en œuvre définitive vers 2024 [3].

L’EDPB adopte le 10 octobre 2022 une déclaration sur le choix de conception d’un euro numérique du point de vue de la vie privée et de la protection des données [4] dans laquelle figurent cinq grandes recommandations :

  • Respecter la vie privée et la protection des données dès la conception et par défaut,
  • Éviter la validation et le traçage systématiques des transactions,
  • Instaurer un seuil de protection de la vie privée, tant hors ligne qu’en ligne,
  • Créer un cadre réglementaire spécifique,
  • Encourager le débat démocratique public.

L’avis conjoint de l’EDPB et de l’EDPS du 18 octobre 2023 reprend – encore – ces recommandations et les étaye, rappelant ce qui a déjà été mis en œuvre, les risques résiduels, les modifications préconisées et les compléments attendus.

Il convient de rappeler que la BCE est indépendante dans l’exercice de ses pouvoirs et que l’Union Européenne et ses institutions, organes et organismes, doivent respecter cette indépendance conformément à l’article 282 paragraphe 3 du Traité sur le Fonctionnement de l’Union Européenne (TFUE). Il est stipulé à l’article 130 que la BCE ne sollicite et n’accepte pas d’instructions de ces derniers.

L’EDPB et l’EDPS respectent cette autonomie décisionnelle et précisent que la proposition de règlement relatif à l’euro numérique doit fournir des règles claires – soumises à discussion et approbation législatives – sur le traitement des données à caractère personnel. Elle doit aussi garantir le niveau le plus élevé possible de protection des droits des personnes et les libertés fondamentales.

Les choix techniques de la BCE devront respecter la législation de l’Union en matière de protection des données, y compris les exigences de nécessité et de proportionnalité.

Constats et recommandations

 

L’avis conjoint insiste à plusieurs reprises sur le fait que la confiance du public impose un haut niveau de confidentialité et de respect de la vie privée. L’euro numérique doit exister conjointement au paiement en espèces, et ne pas le remplacer.

Les efforts déployés pour établir les finalités des traitements de données à caractère personnel (DCP) par les différents acteurs impliqués dans l’émission et la distribution de l’euro numérique, et les catégories de DCP concernées sont salués. Toutefois, l’avis souligne le manque de précisions quant aux bases légales appliquées aux traitements, la répartition des responsabilités en fonction des acteurs intervenant dans les traitements et des catégories de données personnelles traitées..

Bien que l’EDPB et l’EDPS se félicitent que la distribution soit effectuée de manière décentralisée, elles attendent que les modalités de distribution soient précisées dans le texte législatif final. Elles restent également sur leur fin quant aux précisions sur la manière dont les données personnelles seront traitées par les Prestataires de Services de Paiement (PSP), ainsi que sur le traitement de données personnelles effectué pour faire respecter les limites de frais éventuellement demandés par les PSP. Seront-ils responsables conjoints des traitements de données à caractère personnel occasionnés ? Seront-ils sous-traitants ?

Concernant l’infrastructure de règlement fournie et gérée par la BCE, la proposition devrait inclure une obligation contraignante qui garantirait la pseudonymisation de toutes les données de transactions vis-à-vis de la BCE et des banques centrales nationales.

Deux modalités d’euro numérique sont proposées : une modalité en ligne et une modalité hors ligne. La proposition de la BCE prévoit l’enregistrement de toutes les transactions en ligne, quel que soit leur montant. L’avis conjoint recommande un niveau élevé de confidentialité pour les paiements numériques en euros hors ligne (comme l’envisage la proposition) mais aussi pour les paiements en ligne de faibles montants. La BCE semble une nouvelle fois tentée par le traçage systématique des transactions, ce qui n’est pas du goût des autorités.

Les dispositions relatives au mécanisme de détection et de prévention de la fraude par les PSP manquent de visibilité : la question se pose sur les tâches qui seront exécutées par la BCE pour superviser cette lutte exercée par les PSP, ni quelles tâches et quels traitements de données afférents seront exécutés par les PSP. L’EDPB et l’EDPS demandent de démontrer la nécessité d’un tel mécanisme et de prévoir des règles claires et précises, régissant sa portée et son application. À défaut, des mesures moins intrusives du point de vue de la protection des données devraient être introduites, accompagnées de garanties appropriées. L’indépendance de la BCE ne l’exonère pas du respect des exigences de nécessité et de proportionnalité, et la lutte contre la fraude ne peut pas servir d’excuse à une surveillance sans limite.

Ils demandent également d’inclure une référence explicite au cadre juridique applicable en matière de cybersécurité dans le préambule de la proposition, du fait des risques auxquels l’euro numérique pourrait être confronté.

L’EDPB et l’EDPS regrettent que la proposition ait écarté l’approche d’une « confidentialité sélective » pour les paiements en ligne de faible montant et recommandent d’étendre le régime spécifique à la modalité hors ligne pour les transactions de faible valeur effectuées en ligne, en établissant un seuil en dessous duquel il n’y aurait pas de traçage des transactions à des fins de Lutte contre le Blanchiment des Capitaux et le Financement du Terrorisme (LCB-FT). Au même titre que pour la lutte contre la fraude, les traitements liés à la LCB-FT doivent être proportionnés et leur nécessité doit être démontrée. Ils ne doivent pas servir d’excuse au traçage systématique ou à la surveillance généralisée.

La lettre de l’EDPB aux institutions européennes du 18 juin 2021 pointait déjà le risque de suivi général des transactions, le risque d’identification excessive des citoyens et le risque pour la sécurité des données de paiement. Le comité préconisait de concevoir l’euro numérique en s’appuyant sur l’utilisation des espèces afin de trouver le juste équilibre entre la vie privée et la protection des données d’une part, et la LCB-FT d’autre part. Tout accès aux transactions par la BCE ou les banques centrales nationales devrait être évité.

Le Comité et le Contrôleur rappellent l’obligation pour tous les responsables de traitements et responsables conjoints de traitements de données personnelles liés à l’euro numérique, de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) du fait des exigences de  l’article 35 du RGPD. La proposition de règlement devrait rappeler l’obligation de protection de la vie privée et des données personnelles dès la conception et par défaut, lors de l’établissement de la conception opérationnelle et des choix technologiques.

L’EDPB et l’EDPS reconnaissent que la proposition prévoit des contraintes spécifiques pour les responsables de traitement et des garanties pour les personnes concernées, comme l’interdiction de conserver des données de transaction hors ligne par les PSP, les banques centrales ou la BCE. Ils saluent également l’obligation pour la BCE de consulter le Contrôleur Européen de la Protection des Données (EDPS) avant l’adoption de mesures, règles et normes détaillées susceptibles d’avoir une incidence sur la protection des données.

D’autres remarques, plus spécifiques figurent également dans l’avis conjoint comme :

  • La nécessité de bien définir les « appareils mobiles » et les « dispositifs de stockage locaux »,
  • La nécessité d’expliciter la notion de pseudonymisation sous-entendue par les notions « d’identifiant utilisateur » et « d’alias utilisateur »,
  • L’importance de définir l’expression « numéro de compte de paiement numérique en euros » pour clarifier les différents types d’identifiants mentionnés dans la proposition,
  • Le besoin de clarifier les traitements effectués dans le cadre de la distribution de l’euro numérique à des personnes physiques ou morales qui ne résident pas ou ne sont pas établies dans les États membres.

L’avis conjoint fournit aussi des recommandations très détaillées quant aux spécificités des traitements de DCP liés au couplage d’un compte en euro numérique et d’un compte bancaire traditionnel. Il en est de même quant à l’utilisation de l’euro numérique comme réserve de valeur et comme moyen de paiement, ses caractéristiques techniques, aux opérations de règlement, au mécanisme général de détection et prévention de la fraude, à la cybersécurité et à la résilience opérationnelle, et bien sûr à la LCB-FT.

Si l’avis semble réitérer – en vain – des consignes et recommandations déjà formulées à plusieurs reprises par l’EDPB depuis 2020, l’alignement du Contrôleur Européen de la Protection des Données (EDPS) devrait favoriser la prise en compte de ces mesures. L’intervention du « gendarme européen » rappelle ici à la BCE que le respect du RGPD est une obligation, y compris pour les institutions et organes de l’Union Européenne. Bon gré, mal gré, entendra-t-elle le message ?

Pour plus d’informations, RGPD-Experts vous invite à consulter l‘avis conjoint disponible (en anglais) sur le site du Comité Européen de la Protection des Données[5].

SP

 

[1] Article 25 du RGPD Protection des données dès la conception et protection des données par défaut : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25

[2]Lettre de l’EDPB aux institutions européennes : https://edpb.europa.eu/system/files/2021-07/edpb_letter_out_2021_0111-digitaleuro-toecb_en_1.pdf

[3] Site internet de la Banque Centrale Européenne :  https://www.ecb.europa.eu/press/pr/date/2021/html/ecb.pr210714~d99198ea23.fr.html

[4] Déclaration 04/2022 sur les choix de conception d’un euro numérique du point de vue de la vie privée et de la protection des données : https://edpb.europa.eu/system/files/2023-01/edpb_statement_20221010_digital_euro_fr.pdf

[5] Avis conjoint de l’EDPB et l’EDPS sur la proposition de règlement relatif à l’euro numérique : https://edpb.europa.eu/system/files/2023-10/edpb_edps_jointopinion_022023_digitaleuro_en.pdf

 

 

 

 

 

Télétravail et conformité : aberration ou une simple question d’organisation ?

RGPD-Experts vous souhaite une belle rentrée !

 

Vous êtes employé et souhaitez prendre connaissance des nombreux mails reçus pendant vos congés depuis votre salon, pour fuir l’humour parfois douteux de vos collègues ou simplement mieux vous concentrer sur vos projets ? Vous êtes employeurs et souhaitez offrir un confort personnel à vos salariés en les laissant libres de planifier leurs journées de travail comme ils l’entendent ?

Quelles que soient vos motivations, vous êtes probablement nombreux à recourir au télétravail en ce retour de vacances.

Cette pratique, peu développée en France avant la crise sanitaire, s’est depuis généralisée et banalisée.

Cette forme d’organisation du travail induit, par définition, une manipulation à distance du patrimoine informationnel de l’entreprise. Le télétravail pose ainsi de nombreuses questions en termes de protection des données personnelles, c’est pourquoi il est essentiel que ses modalités de mise en œuvre soient rigoureusement encadrées, dans l’intérêt de tous.

ATTENTION – Tant qu’il détermine les finalités et moyens des traitements de données mis en œuvre par la société, l’employeur demeure « responsable de traitement » aux yeux de la loi. Le fait que les données soient exploitées voire stockées sur des équipements situés chez ses collaborateurs ne le décharge en aucun cas de sa responsabilité en cas non-conformité !

Conformité lors de l’instauration du télétravail

 

Le recours au télétravail doit, dans les entreprises privées, faire l’objet d’un accord formalisé avec l’employeur.

Au-delà d’un accord sur le principe même de ce travail en distanciel, nous vous conseillons de formaliser aussi les conditions précises de sa mise en œuvre, en concertation si possible avec les représentants du personnel.

Deux options s’ouvrent alors au responsable de traitement pour permettre aux membres de l’organisme de continuer à poursuivre leurs missions de chez eux :

Soit il décide que le personnel ne pourra travailler que sur des outils fournis à cet effet, dédiés à leur activité professionnelle et paramétrés par la société (ordinateurs, tablettes, téléphones voire box Internet) ;

Soit il les autorise à utiliser leurs terminaux personnels à des fins professionnelles, ce que l’on appelle plus communément le « BYOD » (pour l’anglais « Bring Your Own Device » ou, selon l’acronyme français « AVEC », « Apportez Votre Équipement personnel de Communication »).

Si cette solution apparaît souvent plus facile et moins coûteuse à mettre en œuvre pour les employeurs, elle présente un risque plus élevé en termes de protection des données personnelles.

Dans tous les cas, il est essentiel que l’organisme adopte une CHARTE INFORMATIQUE spécifique au télétravail, et accomplisse les démarches nécessaires pour que ce document acquiert une valeur contraignante.

À la fois outil d’information et de prévention, la charte informatique recense les bonnes pratiques devant être adoptées par les utilisateurs du réseau et du parc informatique de l’organisme, afin de se prémunir de toute difficulté. Ce document fait ainsi des collaborateurs des acteurs essentiels de la « culture de sécurité » de l’entreprise.

Nous vous incitons aussi, et surtout, à mener des ACTIONS DE SENSIBILISATION auprès de vos collaborateurs, pour leur expliquer l’intérêt de ces consignes de sécurité (sessions de formations, documentation disponible sur l’Intranet de l’entité, opérations de communication régulières (envoi de newsletters à ce sujet, réunions d’information, guides pratiques…).

 

Conformité pendant le télétravail

 

Que les membres de votre organisme télétravaillent depuis leurs propres appareils ou non, nous vous recommandons d’être vigilants sur la configuration de ces terminaux, par eux ou par vous. Des gestes simples participent à la protection des données personnelles de l’entreprise, tels que :

SUR LES POSTES DE TRAVAIL

  • Cloisonner les espaces de travail (créer des comptes distincts pros/persos, mettre en place des habilitations pour limiter l’accès à chaque espace aux personnels concernés, etc.);
  • Installer un antivirus et un pare-feu ;
  • Faire les mises à jour des systèmes d’exploitation proposées ainsi que des sauvegardes régulières, de préférence sur les infrastructures de l’entreprise et non des appareils privés.

POUR LES CONNEXIONS & COMMUNICATIONS

  • Limiter les besoins de connexion à Internet (notamment en recourant à un VPN) et, à défaut, configurer les Box Wifi en conséquence (supprimer les accès partagés et réseaux invités, mettre un mot de passe fort de connexion, activer la Wi-Fi en chiffrement WPA et non WPS, etc.);
  • Ne pas transmettre des données via des espaces de stockage collaboratifs ou publics (type « WeTransfer », ou via Internet) ;
  • Utiliser des moyens de communication chiffrés de bout en bout, protégés par des codes d’accès et, si nécessaire, envoyer les clés de déchiffrement à votre interlocuteur via un canal de communication distinct (exemple: code de connexion à une application transmis par SMS par exemple) ;
  • Ne télécharger et n’utiliser que des interfaces autorisées par l’entreprise ;
  • Sensibiliser les collaborateurs pour identifier et éviter les tentatives d’hameçonnage.
L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Exemple : il doit inciter ses collaborateurs à utiliser des systèmes de visioconférence de confiance (développés et hébergés dans un pays soumis au Règlement Général sur la Protection des Données), et poser des instructions claires pour les protéger (possibilité de ne pas démarrer la vidéo, option de floutage automatique de l’arrière-plan, etc.).

S’il peut être tentant pour l’employeur de vérifier que les membres du personnel sont pleinement dévoués à leurs tâches, de chez eux, il lui est formellement interdit de recourir à des méthodes de surveillance constante des salariés (mise en place d’une webcam ou d’un partage d’écran permanent, obligation de pointage régulier, consultation d’un historique de connexion détaillé…).

Pour mémoire, les dispositifs de contrôle ponctuels des employés ne peuvent être instaurés que s’ils sont proportionnés et adéquats au but poursuivi, après que les salariés ont été informés de leur installation, et avoir consulté les représentants du personnel à ce sujet.

Remarque : ces éventuelles méthodes de contrôle constituent des traitements de données devant figurer sur le registre des activités de traitement de l’organisme. Compte tenu du risque qu’ils présentent pour les droits des personnes concernées, ceux-ci doivent par ailleurs, pour la plupart, faire l’objet d’une Analyse d’Impact relative à la Protection des Données (AIPD).

A supposer d’ailleurs qu’il faille contrôler le travail effectué à distance par les salariés.

D’après Pôle Emploi, reprenant une étude réalisée par le cabinet Gartner, 55% des salariés en télétravail afficheraient un niveau d’efficacité élevé[1].

 

Conformité au-delà du télétravail

 

Puisqu’il suppose une prise de fonction à domicile, le télétravail est susceptible de brouiller la frontière entre la vie personnelle et la vie professionnelle des télétravailleurs.

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

 

Suppression des temps de transport, gain de flexibilité et meilleure efficacité : le télétravail présente des avantages indéniables tant pour les salariés que les entreprises. Mais, en distanciel, l’employeur perd une certaine maîtrise physique et juridique des terminaux de ses salariés.

S’il est mal encadré, le télétravail peut ainsi être à l’origine de nombreuses dérives, toutes préjudiciables à l’entreprise : failles de sécurité, violation des données, atteinte aux droits et libertés individuels des collaborateurs, etc. Outre les risques d’une condamnation administrative voire pénale de l’organisme en cas de manquement à ses obligations légales en matière de protection des données personnelles, les enjeux sont considérables pour la réputation de l’organisme, à l’heure où la conformité des sociétés participe de leur bonne image de marque.

De la rédaction d’une charte informatique contraignante à la formation de vos collaborateurs, en passant par un rappel des points de vigilance à retenir pour organiser le travail à distance de vos équipes : les professionnels de RGPD-Experts sont naturellement à votre disposition pour vous guider dans la mise en place d’un télétravail conforme.

Pour plus de renseignements, rendez-vous sur : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

 

[1] Pôle Emploi, « Télétravail : où en est-t-on », 28 déc. 2022, https://www.pole-emploi.org/accueil/actualites/2022/teletravail–ou-en-est-on.html?type=article#:~:text=Cette%20dynamique%20vertueuse%20renforce%20aussi,36%20%25%20des%20salari%C3%A9s%20en%20pr%C3%A9sentiel.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

 

Durées de conservation : un rapide topo pour vous faire gagner du temps

……mais aussi de l’énergie, de l’argent, et en conformité !

 

Affaires « Doctissimo », « Obeeqo International », « Greffes des tribunaux de commerce »… ces dernières amendes prononcées par la CNIL [1] ont en commun de toutes sanctionner au moins un même manquement aux règles applicables en matière de protection des données : celles relatives aux durées de conservation.

Pour éviter d’être, vous aussi, un jour rappelé à l’ordre par la Commission, il est temps de faire le point sur ce sujet délicat.

RGPD-Experts vous explique tout ce qu’il faut savoir sur les durées de conservation, en un temps record

Dans un premier temps : rappel du cadre légal

 

Le Règlement Général sur la Protection des Données Personnelles (RGPD) impose aux organismes de ne pas conserver éternellement les données personnelles qu’ils collectent.

La difficulté de ce texte réside toutefois dans son silence. En effet, le règlement européen ne détermine pas de délais fixes de conservation, qui sont laissés à l’appréciation des responsables de traitement.

Article 5(1)(e) RGPD : «Les données à caractère personnel doivent être : […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Cette souplesse de la législation a pour avantage d’être pragmatique. Elle permet aux organismes d’adapter ces durées de conservation à leurs besoins réels, en fonction de l’objectif poursuivi par le recueil des données personnelles.

Mais cette flexibilité n’est pas sans risque, puisqu’il appartiendra au responsable de traitement de justifier son choix en cas de contrôle, conformément au principe « d’accountability »[2]. Pas question pour la CNIL de les laisser faire la pluie et le beau temps !

Dans un deuxième temps : retour sur la notion de durée de conservation

 

La plupart du temps, il n’existe pas une, mais des durées de conservation. Et oui, plusieurs durées peuvent s’appliquer concomitamment selon :

  • Le type de données concernées

Exemple : une carte de fidélité contient plusieurs catégories de données personnelles, qui peuvent ne pas se voir appliquer les mêmes durées de conservation (numéro de carte de fidélité, identité de la personne, etc.).

  • L’étape du cycle de vie des données concernée

Une fois recueillie, une donnée personnelle peut être conservée sous différentes formes :

PHASE 1 : La base active 

Lorsqu’elle sert encore, de manière courante et quotidienne, à accomplir la mission pour laquelle elle a été collectée.

Exemple : l’identité, les coordonnées et les informations sur le temps de travail d’un salarié, afin de lui adresser chaque mois sa fiche de paie. 

En pratique, ces renseignements sont conservés de manière à être facilement accessibles dans l’environnement de travail des services ayant besoin d’en connaître, tels que dans des fichiers sécurisés sur des postes de travail.

Les données doivent en théorie être effacées dès qu’elles ont permis d’atteindre l’objectif initialement poursuivi. Ce n’est que par exception qu’elles peuvent être gardées plus longtemps par l’organisme.

PHASE 2 : L’archivage intermédiaire 

Cet archivage intervient lorsque la donnée n’est plus utile pour poursuivre le but pour lequel elle avait été recueillie, mais qu’entre-temps sa conservation présente encore un intérêt pour le responsable de traitement (pour des raisons administratives ou lui permettre de répondre à ses obligations légales, notamment).

Exemple : les indications portées sur le registre unique du personnel doivent être conservées pendant 5 ans après le départ du salarié, conformément à l’art. R.1221-26 du Code du travail

RAPPEL: le responsable de traitement doit prendre les mesures nécessaires pour assurer la protection des données personnelles qu’il exploite. En archivage intermédiaire, il doit donc s’assurer que ces informations sont stockées de manière sécurisée et qu’elles ne peuvent être consultées que de manière ponctuelle, pour des motifs spécifiques et par des personnes spécialement habilitées.

PHASE 3 : éventuellement en archivage définitif

Exceptionnellement, certaines données peuvent être conservées sans limitation de durée alors même qu’elles ont déjà fait leur temps. Tel est le cas d’archives publiques, qui présentent un intérêt historique, scientifique ou statistique justifiant qu’elle ne fasse l’objet d’aucune destruction[3].

En matière de durées de conservation comme ailleurs, chaque chose en son temps donc !

Dans un dernier temps : comment déterminer la durée de conservation d’une donnée ?

S’il appartient au responsable de traitements de déterminer la durée de conservation qu’il souhaite appliquer aux données qu’il manipule, RGPD-Experts vous livre le raisonnement à tenir pour obtenir en temps utiles des durées convenables de conservation :

Rechercher l’existence d’un texte ou d’une législation imposant un délai de conservation spécifique

Exemple : les images de vidéoprotection ne peuvent en principe pas être conservées plus d’un mois. (art. L252-3 du Code de la sécurité intérieure).

Les délais de prescription d’éventuelles actions en justice peuvent également être des indicateurs précieux pour déterminer les durées de conservations, lorsque les informations sont conservées pour se prémunir d’un éventuel contentieux ou se défendre en cas d’action en justice.

 

À défaut, rechercher l’existence de normes ou d’une doctrine de la CNIL

En l’absence de textes légaux, il est aussi possible de se référer aux anciennes normes simplifiées ou autorisations uniques de la Commission, voire aux référentiels sectoriels qu’elle publie et à ses recommandations.

Exemple : la CNIL estime que les CV recueillis lors de recrutements peuvent être conservés pour une durée maximale de 2 ans avec l’accord de la personne, pour que l’organisme puisse recontacter les profils qui l’intéressent si besoin.

À défaut, seule la finalité de la collecte de la donnée personnelle permet de choisir un délai de conservation adéquat

De manière générale, plus les données sont sensibles, moins il est toléré de les conserver longtemps.

Soyez vigilant : la CNIL ne vérifie pas uniquement que le responsable de traitement a bien fixé des durées de conservation théoriques selon les catégories de données traitées. Elle contrôle aussi et surtout la mise en œuvre concrète de ces mesures, à savoir l’archivage progressif et sécurisé des données jusqu’à leur suppression totale, dans les délais impartis.

* * *

Depuis le temps que le RGPD est entré en vigueur, nous ne vous ferons pas l’offense de vous rappeler que bien d’autres règles encadrent la gestion des durées de conservation de vos données, et que celles-ci doivent entre autres :

  • Être portées à la connaissance des personnes concernées ;
  • Mentionnées dans le registre des activités de traitement de l’organisme et votre documentation de conformité ;
  • Appliquées même dans l’hypothèse d’une sous-traitance des données, etc.

Il n’est pas inutile de refaire de temps en temps un point sur ses connaissances ! Si vous avez négligé ces règles de base de la protection des données au point de ne plus être certain de votre conformité, notre équipe d’experts vous consacrera tout le temps nécessaire pour vous former et vous accompagner dans vos démarches. Pour plus d’informations, rendez-vous sur notre site Internet : https://www.rgpd-experts.com/

L.H

[1]  La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2]  Pour rappel, ce principe sous-tend que vous vous conformiez aux règles applicables en matière de protection des données personnelles, mais aussi que vous soyez en capacité de démontrer de votre conformité en toutes occasions.

[3] La gestion de ces archives est régie par des dispositions spécifiques, prévues en particulier par le Code du patrimoine.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

 

 

 

 

 

 

 

Procédure de sanction de la CNIL

Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?

La Commission Nationale de l’Informatique et des Libertés[1] (CNIL) publie aujourd’hui presque quotidiennement l’annonce d’une nouvelle sanction prise contre un responsable de traitement fautif. Parmi elles, les décisions résultant d’une procédure simplifiée se multiplient.

MAIS QUELLE EST DONC CETTE PROCÉDURE ?

Depuis près d’un an, la CNIL dispose d’un outil supplémentaire pour sanctionner les responsables de traitement non conformes : la procédure simplifiée. Et pour cause, afin de faire face à l’afflux des plaintes reçues, l’autorité de contrôle n’a pas eu d’autres choix que de réformer ses méthodes répressives[2].

Il devenait en effet essentiel de simplifier la procédure de contrôle originellement suivie par la CNIL (dite « ordinaire ») pour lui permettre d’investiguer sur TOUS les manquements à la législation en vigueur en matière de protection des données personnelles, aussi minimes puissent-ils paraître.

C’est dans ce cadre qu’a été adopté l’article 22-1 de la loi Informatique et Libertés du 06 janvier 1978[3]. Cette nouvelle disposition assouplit les obligations imposées au gendarme français de la protection des données pour enquêter et éventuellement poursuivre les organismes manquant à leurs obligations légales.

L’autorité de contrôle ne souhaitait pas concentrer son temps, son énergie et ses moyens financiers à enquêter seulement sur les dossiers « graves », au risque d’assurer l’impunité de tous les autres organismes blâmables.

EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?

Si l’ouverture d’une procédure ordinaire ou simplifiée trouve généralement leur source dans des motifs identiques (plaintes, coopération, auto-saisine de la CNIL…), les modalités dans lesquelles se déroulent ces contrôles diffèrent.

  • Des situations moins complexes

La procédure simplifiée a vocation à être mise en œuvre dans les cas ne présentant aucune difficulté juridique ou factuelle (aucun débat subsistant sur les questions de fait et de droit, décisions similaires déjà rendues par la CNIL, affaire relevant d’une jurisprudence établie, etc.). Le dossier doit être simple comme bonjour.

Il faut également que la gravité des faits soit relative, pour que la ou les réponse(s) appropriée(s) à ces violations puisse(nt) faire partie des trois mesures pouvant être ordonnées dans le cadre d’une procédure simplifiée.

  • Des sanctions limitées

Lors d’une procédure simplifiée, l’autorité régulatrice ne peut pas faire usage du large panel de sanctions dont elle dispose à l’occasion des procédures ordinaires. Elle ne peut prononcer que :

  • Un rappel à l’ordre ;
  • ET / OU une amende administrative d’un montant maximum de 20 000 € ;
  • AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.

Si ces sanctions ne peuvent pas être rendues publiques, contrairement à celles prononcées à l’issue d’une procédure ordinaire, la CNIL peut se déplacer sur site pour réaliser ses actes d’enquête. Difficile, dans ces conditions, de garder cette procédure simplifiée parfaitement secrète. Les responsables de traitement ne sont donc pas à l’abri que ces investigations portent malgré tout significativement atteinte à leur réputation…

« Procédure simplifiée » ne rime pas avec « simple contrôle » Les conséquences pour l’organisme ne sont pas à prendre à la légère ! La perte de confiance du public est économiquement plus risquée encore que les sanctions administratives encourues.

  • Des organes répressifs plus faciles à mobiliser

Pour initier la procédure simplifiée, la Présidente de la Commission doit saisir à cet effet le Président de la formation restreinte[4], qui désignera alors à son tour un agent de la CNIL chargé d’instruire le dossier.

Rien n’oblige la Présidente de la CNIL à recourir à une procédure simplifiée. Il s’agit d’une décision discrétionnaire de sa part, si le dossier apparaît pouvoir être examiné selon ces modalités. De la même manière, le Président de la formation restreinte peut à tout moment choisir de renvoyer l’affaire vers une procédure de sanction ordinaire.

L’agent de la CNIL désigné devra, après avoir éventuellement entendu le mis en cause ou procédé à des vérifications complémentaires, rédiger un rapport sur les manquements reprochés à l’organisme. Il doit, si des violations sont constatées lors de la clôture des investigations, proposer une ou plusieurs des trois mesures de sanctions possibles.

Contrairement à la procédure ordinaire, la procédure simplifiée est en principe écrite, ce qui implique qu’il ne se tient normalement aucune séance publique pour débattre des faits.

Le Président de la formation restreinte ou un membre de la CNIL désigné par lui statue purement et simplement, seul, sur les documents mis à sa disposition – là où l’ensemble des membres de la formation restreinte délibère sur le cas qui leur est soumis dans la procédure ordinaire. Un débat (non public) ne sera organisé que si l’organise mis en cause la demande. Ce dernier pourra alors présenter oralement ses observations, uniquement devant le rapporteur et le Président de la formation restreinte.

  • Des étapes allégées, mais des droits identiques

Cette simplification du déroulement de la procédure ne doit pas conduire à une réduction des prérogatives reconnues aux responsables de traitement mis en cause. Ceux-ci disposent notamment :

  • Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;
  • Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.
  • Du même droit, d’être assisté et/ou représenté par un avocat.

QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?

La CNIL a déclaré n’avoir eu recours qu’à quatre reprises à la procédure simplifiée en 2022[5]. Nous attirons votre attention sur le fait que ce chiffre relativement faible ne révèle pas un désintérêt de l’autorité régulatrice pour cette procédure, bien au contraire.

Pour rappel, la procédure simplifiée ne peut être mise en œuvre que depuis le mois d’avril 2022. Compte tenu des délais d’investigation et d’échanges d’observations, les premières décisions rendues dans ce cadre commencent donc seulement à être publiées. Rien qu’entre les mois de janvier et mars 2023, la CNIL a ainsi émis pas moins de sept nouvelles sanctions prises dans ce cadre.

QUANDQUIQUOIPOURQUOI
Le 23/01/2023Société de conseil en systèmes et logiciels informatiques.Amende de 5 000 € et injonctionViolation des règles applicables en matière de : – Coopération avec la CNIL ; – Consentement (cookies) et d’information des personnes ; – Droit à l’effacement ; – Registre des activités de traitement ; – Mesures de sécurité.
Le 08/02/2023Commune.Amende de 5 000 € et injonction.Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Désignation obligatoire d’un délégué à la protection des données.
Le 08/02/2023Médecin généraliste.Amende de 3 000 € et injonction.Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Droit d’accès des personnes concernées.
Le 08/02/2023Société exerçant une activité de détail d’habillement en magasin spécialiséAmende de 10 000 € et injonction.Défaut de coopération avec la CNIL.
Le 03/03/2023Société exerçant une activité de sécurité privée.Amende de 15 000 €.Violation des règles applicables en matière de : – Minimisation des données ; – Information des personnes ; – Registre des activités de traitement.
Le 28/03/2023Société de programmation informatique.Amende de 20 000 €.Violation des règles applicables en matière de : – Encadrement des relations entre le responsable de traitement et le sous-traitant ; – Mesures de sécurité.
Le 28/03/2023Société de marketing.Amende de 10 000 € et injonction.Défaut de coopération avec la CNIL.
Le 28/03/2023Société de marketing.Amende de 10 000 € et injonction.Défaut de coopération avec la CNIL.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Nous vous parlions déjà de la réforme des procédures répressives de la CNIL dans un précédent article sur le sujet, disponible à l’adresse suivante : https://www.rgpd-experts.com/cnil-nouvelles-sanctions-et-nouvelles-procedures/

[3] Issu de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, et de son décret d’application n°2022-517 du 08 avril 2022.

[4] La formation restreinte était habituellement l’organe répressif de la CNIL, jusqu’à l’adoption de la procédure simplifiée. Composée de 5 membres et d’un Président distinct de celui de la CNIL, elle demeure l’organe répressif compétent si l’affaire suit la procédure ordinaire.

[5] « Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022 », 31 janvier 2023 : https://www.cnil.fr/fr/procedure-de-sanction-simplifiee-la-cnil-presente-son-premier-bilan-2022

 

 

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Designs trompeurs

Un réseau social distrayant, ça trompe énormément ?

Le 14 février 2023, le Comité européen de la Protection des Données[1] a adopté trois nouvelles lignes directrices, dont l’une vise à éviter l’utilisation de « designs trompeurs » sur les réseaux sociaux[2].

Le sujet vous intéresse, mais vous n’êtes pas certain d’avoir compris l’essentiel de ces 74 pages disponibles, pour l’heure, exclusivement en anglais ? RGPD-Experts a analysé pour vous les points majeurs à retenir de ces lignes directrices !

Ces préconisations ne s’arrêtent pas aux seuls réseaux sociaux, et sont bien évidemment transposables à toutes les autres plateformes (site Internet, applications mobiles, etc.).

Les « designs trompeurs » : késako ?

Le CEPD entend par l’expression « designs trompeurs » les techniques de conception d’une interface ayant pour objet ou pour effet d’influencer le comportement d’un utilisateur. Plus généralement, il s’agit de tous les procédés susceptibles d’inciter l’internaute à prendre des décisions non désirées ou inconscientes à son détriment – ou en faveur du réseau social – concernant la protection de ses données personnelles.

Ces méthodes sont multiples, et empêchent les internautes d’être véritablement acteurs de la protection de leurs données personnelles.

Les « designs trompeurs » : comment les reconnaître ?

Sans le savoir, nous sommes confrontés en permanence à ces designs pourtant prohibés. Le CEPD les classe selon différentes catégories :

  • Selon leurs effets sur le comportement de l’utilisateur : surcharge d’informations, utilisation des émotions, obstruction, maintien des personnes concernées dans une incertitude sur les pratiques du réseau et sur leurs droits en matière de protection des données, etc.
  • Selon leurs types : certains designs sont trompeurs dans leur contenu (formulation de phrase équivoque, déclarations, sorties de leur contexte, etc.), d’autres le sont dans leur forme (couleurs de l’interface, typographie, etc.).

EXEMPLE DE DESIGNS TROMPEURS

Effets sur les comportement de l’utilisateurMoyen trompeur utilisé par le responsable de traitementTypes de designs trompeursExemples
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données. L’incitation en continu : elle consiste à pousser l’internaute à céder aux demandes du réseau en lui répétant de donner plus de données ou à consentir à l’utilisation de ses données à des fins particulières.Contenu trompeurL’apparition permanente de « pop-up » en ce sens pendant la lecture d’un article.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.L’excès d’options : le responsable de traitement offre tellement de possibilités à la personne concernée pour configurer ses préférences / faire ses choix pour gérer ses données que celle-ci finit par abandonner sa démarche.Contenu trompeurNe pas proposer un bouton « tout refuser » lorsque l’utilisateur doit choisir pour quelles finalités il accepte ou non le dépôt de cookies sur son terminal. Las de devoir décocher les consentements donnés par défaut, finalité par finalité, celui-ci pourrait être tenté de finalement accepter la présélection faite pour gagner du temps.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.Le labyrinthe : l’internaute peine à obtenir une information / faire une action, car il est contraint de passer par de nombreuses étapes pour y arriver, sans disposer d’une vision globale du schéma qu’il doit suivre pour y parvenir.Interface trompeuseSelon les droits qu’il veut exercer, l’internaute trouve les informations pertinentes à ce sujet dans la « foire aux questions » du site, puis sur son compte personnel, lesquels renvoient ensuite selon les cas à la politique de protection des données ou à un formulaire spécifique.
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.Le « pilotage » émotionnel : des éléments visuels (couleurs, images, style) sont utilisés pour rendre positives certaines actions de l’internaute pourtant préjudiciables ou, à l’inverse, lui faire peur / le culpabiliser à tort pour l’encourager à agir dans le sens voulu par l’organisme.Contenu trompeurUn réseau social propose à l’internaute de partager sa localisation sous ces termes : « Hey toi ! Tu te sens seul aujourd’hui ? Envie de voir du monde ? Partage ta localisation et regarde si tes amis sont à proximité ! »
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.La dissimulation de renseignements « à la vue de tous » : les informations sont bien communiquées, mais en réalité cachées aux utilisateurs grâce à diverses méthodes.Interface trompeuseLe lien permettant d’accéder à la politique de protection des données de l’organisme est accessible via un lien écrit en tout petit, de couleur jaune pâle sur une page de fond blanc.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les longueurs excessives : le responsable de traitement impose à l’utilisateur un nombre important et inutile d’étapes pour activer certaines options, ou détaille inutilement certaines informations pour l’embrouiller.Interface trompeuseUn individu tente de se désabonner d’une newsletter. Afin de valider sa demande, l’organisme lui demande : 1) De cliquer sur un 1er lien, 2) Puis de renseigner son adresse mail, 3) De confirmer après son souhait grâce au courriel envoyé, 4) D’indiquer pourquoi il souhaite se désabonner, 5) D’évaluer enfin le service/commerçant
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les actes trompeurs : la divergence entre l’information donnée et l’acte pour y parvenir est susceptible de duper l’utilisateur.Interface trompeuseLors de la validation d’une commande sur Internet, le client a été conduit sans le savoir vers un site d’épargne en ligne de type Paypal, Lydia, etc. Pensant remplir un formulaire permettant la livraison de son achat, il est en réalité en train d’ouvrir un compte sur ces applications bancaires.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les impasses : les utilisateurs ne peuvent techniquement pas finaliser leurs actions Interface trompeuseLorsque l’internaute clique sur le lien destiné à retirer le consentement qu’il avait initialement donné à l’utilisation de ses données, il est redirigé vers une page inexistante.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.Les informations contradictoiresContenu trompeurIl est indiqué tour à tour à l’internaute d’exercer ses droits directement auprès du Délégué à la protection des données, puis auprès d’une personne référente ayant d’autres coordonnées.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.Les formulations ambiguësContenu trompeurLa politique de protection des données de l’organisme mentionne : « Nous utilisons vos données pour nous permettre de poursuivre nos différentes activités. Nous ne les conservons pas plus que le temps strictement nécessaire à cela ». Ces termes vagues et génériques ne permettent pas à l’internaute de comprendre l’utilisation réellement faite de ses données.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les « ruptures » de langage Contenu trompeurAlors que toute l’application est en français, la politique de protection des données de l’organisme est en anglais.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les interfaces incohérentes : la présentation de l’application ou du site n’est pas conforme aux attentes raisonnables de l’utilisateur, ce qui est source de confusion.Contenu et interface trompeur Les options de l’internaute pour configurer ses données sont toujours présentées de la moins protectrice à la plus protectrice, sauf à la dernière question. Dans ces conditions, le dernier choix de l’utilisateur pourrait être faussé s’il répond par réflexe selon la même logique que celle appliquée jusqu’alors.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les décontextualisations : l’information cherchée par l’internaute ne peut pas être trouvée dans un endroit intuitif pour lui. Interface trompeuseLes options de configuration des préférences de l’internaute en matière de protection des données sont accessibles dans la section « mes éléments », ce que l’intitulé ne permet pas de deviner.
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles. Le détournement d’attention : il s’agit de mettre en concurrence les informations relatives à la protection des données avec d’autres informations, afin de dévier l’internaute de ces questions.Interface trompeuseUne bannière affiche la politique du réseau social en matière de cookies ainsi : « Nous avons créé pour vous la recette des meilleurs cookies jamais cuisinés. Pour connaître les ingrédients, cliquez sur ce lien : « xxx ». Notre site utilise lui aussi des cookies. Si vous voulez en savoir plus, cliquez ici : « yyy ». »
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.Les suggestions trompeuses : ces procédés visent à instaurer une divergence entre ce que l’utilisateur veut et ce qu’il peut obtenir, afin de le décourager dans ses actions.Interface trompeuseDemander à l’utilisateur s’il veut rendre son profil : – Confidentiel – Accessible à ses amis seulement ; – Ou public ; Tout en pré cochant et mettant en évidence l’option la plus défavorable pour la protection de ses données personnelles., à savoir « public ».

Les « designs trompeurs » : pourquoi les éviter ?

Ces « designs trompeurs » violent plusieurs dispositions fondamentales du RGPD, et notamment :

  • Le principe de loyauté (art. 5(1)(a) du RGPD) : les responsables de traitement ne doivent pas traiter les données personnelles d’une manière inattendue, préjudiciable, fallacieuse ou discriminatoire pour les personnes concernées.
  • Le principe de minimisation des données (art. 5(1)(b) RGPD) : les responsables de traitement ne peuvent pas collecter autant d’informations sur les internautes qu’ils ne le veulent. Ils sont tenus de limiter le recueil de ces renseignements aux seules données personnelles adéquates et pertinentes au regard des objectifs poursuivis par la collecte de ces données.
  • Le principe de transparence (art. 5(1)(a) & 12 RGPD): les informations relatives aux pratiques et règles applicables en matière de protection des données personnelles doivent être formulées de façon concise, intelligible et facilement accessible pour les personnes concernées.
  • Les règles relatives à la gestion du consentement (art. 4 & 7 RGPD) : lorsque la base légale justifiant le traitement de données est celle du consentement de l’internaute, le responsable de traitement doit mettre en œuvre les mesures appropriées pour s’assurer que le consentement de ce dernier a été donné par un acte positif clair, et qu’il remplit certaines conditions de validité (consentement libre, spécifique, éclairé et univoque). Il appartient également au responsable de traitement de prévoir des dispositifs permettant à l’utilisateur de revenir aisément et à tout moment sur son accord initial.
  • Les règles relatives aux droits des personnes concernées (art. 12 à 23 RGPD) : le responsable de traitement est non seulement tenu d’informer les internautes des droits dont ils disposent sur leurs données personnelles, mais il doit aussi leur permettre de les exercer sans obstacle (droit d’être informé, droit d’accès, de rectification, à l’effacement de leurs données, etc.).

Le CEPD insiste sur le fait que ces règles doivent être respectées durant toute l’expérience de l’utilisateur sur la plateforme, de la création de son compte personnel sur le réseau social à sa clôture, en passant par la configuration ultérieure de son profil et l’exercice de ses droits.

Les responsables de traitement des pages Web et applications non conformes engagent donc leur responsabilité s’ils recourent à ce type de présentations insidieuses.

ATTENTION : au-delà du RGPD, ces « designs trompeurs » peuvent violer d’autres législations, notamment issues du droit de la consommation

Les « designs trompeurs » : comment les bannir ?

Ces dérives sont répandues, sans que cela ne soit nécessairement voulu par les responsables de traitement.

Nous vous rappelons que le RGPD les oblige pourtant à respecter le principe cardinal du « privacy by design and by default », c’est-à-dire de développer leur plateforme de telle manière qu’elle soit protectrice des données personnelles de leurs utilisateurs dans leur conception même, sans que l’internaute n’ait besoin de configurer l’interface en ce sens.

Cette règle est particulièrement vraie lorsque le site ou l’application vise un public de personnes vulnérables à cet égard (enfants, personnes âgées, etc.).

Pour éviter ces écueils, il convient d’avoir à l’esprit quelques bonnes pratiques. Nous vous recommandons notamment :

– De prévoir plusieurs niveaux d’information (des renseignements « de base » aux plus approfondis), et d’utiliser des raccourcis / liens afin de rediriger les utilisateurs directement vers les informations qu’ils recherchent.

– De rédiger vos informations avec des termes clairs et reflétant la réalité de votre activité (politique de protection des données, politique de cookies, etc.).
Hiérarchisez vos propos et définissez les mots que vous employez. Utilisez des exemples pour expliquer vos pratiques, la façon dont les internautes peuvent gérer leurs données ou exercer leurs droits. Expliquez-leur aussi les conséquences de leurs actions. Bref : rendez la lecture de ces documents le plus facile et agréable possible !

– De concentrer en un seul endroit les options ouvertes aux utilisateurs pour gérer leurs préférences en matière de protection des données personnelles, et de les désigner avec des intitulés évidents (gestion du consentement, exercice des droits, etc.).

– D’utiliser un code couleur ou une typologie permettant aux internautes de distinguer clairement les éléments relatifs à la protection de leurs données personnelles des autres sujets.

– De mettre en évidence une seule et unique personne de contact à qui les internautes peuvent adresser leurs questions en matière de protection des données personnelles. – De notifier les internautes de tout changement de votre politique de protection de données.

– Si vous permettez à vos utilisateurs d’utiliser vos services via plusieurs terminaux (ordinateurs, téléphone, tablette), faites en sorte que la configuration du compte de l’internaute enregistrée sur l’un de ses équipements soit prise en compte sur les autres.

Cette liste n’est évidemment pas exhaustive. N’oubliez pas que votre site Internet ou votre application est la première façade de votre conformité !

Notre équipe de professionnels est à vos côtés pour vous aider à respecter vos obligations légales. Rendez-vous sur notre site pour plus d’informations : https://www.rgpd-experts.com/

[1] Cet organe européen indépendant a été institué par le RGPD lui-même. Il a pour mission de contribuer à l’application cohérente de la législation européenne en matière de protection des données. Il publie régulièrement des lignes directrices pour aider les responsables de traitement à comprendre et respecter leurs obligations légales.

[2] CEPD, Lignes directrices 03/2022 du 14 février 2023, « Designs trompeurs sur les interfaces des réseaux sociaux : comment les reconnaître et les éviter » : https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

L.H

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

tout sur les violations de données

Identification, anticipation, réaction :

La gestion des violations de données

n’aura plus de secret pour vous !

 

En mars 2022, l’Assurance Maladie annonçait avoir été victime d’une cyberattaque ayant entraîné une violation des informations médicales de plus de 500 000 Français [1]. En novembre 2022, c’était au tour de la plateforme de musique en streaming « Deezer » de révéler la fuite des données de ses utilisateurs, qu’elle avait confiées à l’un de ses partenaires commerciaux[2].

Nous ne trahissons aucun secret en rappelant que les données personnelles ont désormais une valeur économique importante dans notre société numérique. Convoités par des hackers souhaitant revendre ces renseignements aux plus offrants, les organismes sont de plus en plus nombreux à révéler ces intrusions survenues dans leurs systèmes d’information.

Mais les piratages informatiques ne sont pas les seules hypothèses de violations de données, loin de là.

Comment prévenir, identifier ou réagir face à de telles violations de données ? RGPD-Experts vous livre tous ses secrets[3] !

 

Qu’est-ce qu’une violation de données ?

D’après l’article 4(12) du Règlement Général sur la Protection des Données (RGPD), il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé » à ces données.

Cette formulation recouvre en fait tous les incidents de sécurité ayant pour conséquence de compromettre :

A) L’intégrité des données personnelles (elles sont ou ont été modifiées par des personnes non autorisées)

ET/OU

B) Leur confidentialité (d’autres personnes que celles spécifiquement habilitées à en connaître ont pu y avoir accès)

Exemple: un collaborateur envoie par mégarde le dossier d’un patient à un autre, en se trompant d’adresse e-mail.

ET/OU

C) Leur disponibilité (elles n’ont plus été accessibles ou exploitables selon les formes et modalités prévues, temporairement ou définitivement).

 Exemple: impossibilité pour un client de consulter son compte personnel sur le site d’une entreprise.

Toute faille de sécurité ne constitue donc pas nécessairement une violation de données ! Tant que la vulnérabilité n’est pas exploitée ou ne compromet pas de données à caractère personnel, il ne s’agit nullement de violation.

Exemple: l’intervention du personnel d’entretien d’une société en dehors des heures d’ouverture des bureaux constitue bien une vulnérabilité pour les systèmes d’information de l’organisme, mais pas une violation de données si les données n’ont pas pu être compromises (notamment si elles n’ont pas pu être consultées, car stockées dans des armoires fermées à clé).

Quelles sont les obligations des organismes en la matière ?

Qui ? Tous les organismes sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour prévenir la survenance de violations de données.

En revanche, en cas de violation de donnée avérée, seuls les responsables de traitement doivent gérer cette situation. C’est à eux qu’il appartient de prendre les mesures nécessaires pour remédier à la violation, en atténuer les éventuelles conséquences négatives et éventuellement notifier la CNIL[4], les personnes concernées ou d’autres autorités si cela s’impose.

Cela ne signifie pas que les sous-traitants sont exempts de tous devoirs. En cas de violation de données, ils doivent impérativement en notifier le responsable de traitement dans les meilleurs délais après en avoir pris connaissance (1) et aider ce dernier à respecter ses propres devoirs (2), notamment en lui transmettant l’ensemble des informations dont il a connaissance. Pas question d’emporter avec lui des secrets dans la tombe !

Quoi ? En plus de tout mettre en œuvre pour éviter la survenance d’une violation de données, le responsable de traitement est tenu :

De tenir un registre des violations de données

Les textes encadrent d’ailleurs non seulement l’existence même de cette documentation, mais aussi son contenu. Certaines mentions doivent obligatoirement y apparaître (la nature de la violation, les catégories et le nombre approximatif de personnes concernées / fichiers concernées, les conséquences probables de la violation, les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation, etc.).

Vous ne pouvez pas gérer ces incidents dans le secret: tous doivent être renseignés dans ce registre.

 

De notifier éventuellement la violation…

(A) À la CNIL

Le responsable de traitement n’est tenu de notifier la violation de données à la CNIL que si celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Autrement dit, il n’est pas obligé d’en informer l’autorité de contrôle si l’incident constitue une simple faille de sécurité et non une violation de données, si la violation ne concerne pas de données à caractère personnel (ex. : informations sur une personne morale), ou encore s’il ne fait courir aucun risque pour les droits et libertés des personnes concernées (ex. : la perte par un collaborateur de l’entreprise de son ordinateur professionnel, dont l’ouverture est protégée par un mot de passe « fort » et dont le disque dur est chiffré).

Cette notification de la CNIL doit intervenir dans les meilleurs délais, et au plus tard 72 heures à compter du moment où le responsable de traitement a connaissance de la violation de données, par le biais d’un téléservice sécurisé dédié disponible à l’adresse suivante : https://notifications.cnil.fr/notifications/index .

Là encore, la législation prévoit expressément les renseignements à transmettre à la Commission[5].

Au-delà de ce délai, le responsable de traitement devra, en plus de son signalement, justifier à la CNIL les motifs du retard de sa notification. Pas sûr que ces secrets lui plaisent !

ATTENTION – La CNIL aura alors un rôle d’accompagnement et d’encadrement (recommandations, vérification du registre interne des violations de données, vérification de la nécessité d’informer les personnes concernées voire injonction de le faire…), mais pas seulement ! La mission générale de contrôle dont elle est investie n’est jamais bien loin. Cette notification est susceptible de constituer le point de départ d’un contrôle global de votre conformité par la CNIL, au-delà de la seule violation de donnée.

D’où l’importance d’avoir étudié au préalable les circonstances dans lesquelles vous devriez notifier ou non la CNIL

Si vous l’en avisez alors que cela n’était pas nécessaire, vous risquez d’attirer inutilement l’attention de la Commission sur votre organisme. Celle-ci pourrait ensuite percer les secrets de certaines de vos pratiques inavouables en matière de protection des données à caractère personnel… Mais si vous ne le faites pas, alors que cela s’imposait, cela constitue une violation du RGPD, punissable tant sur le plan administratif que pénal [6].

Le sous-traitant qui ne notifierait pas cette violation au responsable de traitement encourt les mêmes peines.

(B) Aux personnes concernées

Le responsable de traitement n’est tenu de notifier la violation de données aux personnes concernées que si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Eux aussi ont le droit de savoir que leur jardin secret ne l’est plus tant !

Cette notification doit s’effectuer :

  • Dans les meilleurs délais après que le responsable de traitement en ait pris connaissance ;
  • Avec la transmission de certains renseignements expressément prévus par les textes ; En des termes clairs simples et précis ;
  • Selon le mode de communication de son choix. La législation n’impose pas les modalités de cette communication. Le responsable de traitement doit utiliser les coordonnées (postale, téléphonique, courriel) ou autres éléments dont il dispose (pseudonyme, numéro d’identification interne ou en ligne, « chat »…) pour joindre individuellement chaque personne concernée.

Par exception, le responsable de traitement n’est pas tenu d’informer les personnes concernées si :

 Il avait pris en amont ou après la violation de données des mesures garantissant que le risque élevé pour les droits et libertés des personnes ne se concrétisera pas.

Exemple : les données personnelles affectées sont incompréhensibles pour toute personne non autorisée à y avoir accès, notamment par la mise en place de codes secrets / mesure de chiffrement conforme à l’état de l’art et dont la clé n’a pas été compromise.

→ La communication exigerait des efforts disproportionnés pour le responsable de traitement

Exemple : le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées.

ATTENTION : dans cette situation, le responsable de traitement devra informer les victimes par une communication publique, ou toute autre mesure aussi efficace.

(C) Aux autres autorités de régulation, si la législation le prévoit

Il convient donc de vous renseigner, selon la nature des activités menées par votre structure, si vous êtes tenu d’alerter d’autres autorités spécifiques que la CNIL de cette violation de données (l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour les « opérateurs d’importance vitale » ; les Agences Régionales de Santé (ARS) et du groupement d’intérêt public en charge du développement des systèmes d’information de santé partagés pour les établissements de santé, etc.).

En résumé 

Ce n’est pas un secret de polichinelle : plus vous anticiperez la survenance d’une violation de données, plus vous serez à même de gérer sereinement cette situation pourtant anxiogène !

Nous ne pouvons que vous inciter à mettre en place, dans votre organisme, une procédure permettant d’encadrer ces différentes étapes et s’inscrivant dans la documentation[7] de votre conformité. Les points à étudier sont nombreux, et comprennent notamment, sans que cette liste soit exhaustive :

1)      La mise en place de dispositifs de détection des incidents de sécurité ;

2)     La création d’un registre des incidents de sécurité ;

3)     L’instauration de mesures d’évaluation de la certitude et du niveau de gravité de ces incidents ;

·      Constituent-ils seulement une faille de sécurité ? Une violation de données ? Une violation ne présentant aucun risque / un risque / un risque élevé pour les droits et libertés des personnes concernées ?

·      La détermination de la liste des critères à prendre en compte pour évaluer au cas par cas la gravité du risque pour les droits et libertés des personnes concernées : type de violation, sensibilité des données personnelles visées, nombres de personnes concernées et facilité à les identifier, durée de la violation dans le temps, conséquences possibles de la violation à leur égard, mesures de sécurité préexistantes, etc.

4)     Les réflexes à adopter en cas de violation de données avérée. Compte tenu des délais courts dans lesquels vous êtes tenus d’agir, il est essentiel de prévoir par écrit :

·         Des instructions précises pour vos sous-traitants face à une telle situation, dans vos contrats de sous-traitance ;

·         Identifier le personnel compétent (en interne, mais aussi les acteurs externes susceptibles d’être impliqués) ;

·         Organiser le signalement interne de l’incident de sécurité ;

·         Mener les investigations nécessaires pour qualifier l’incident (cf. étape 2) et pour établir le contexte de la violation de données (circonstances, ampleur, gravité) ;

·         Documenter l’incident ;

·         Prévoir les réponses à apporter à l’incident de sécurité (mesures possibles de résolution de l’incident ; éventuelle notification de la violation de données à l’autorité de contrôle /aux personnes concernées / autres autorités de régulation préalablement identifiées ; signalement possible des forces de l’ordre /autorités judiciaires compétentes / assurance, etc.).

5)     Tirer les conséquences de l’incident de sécurité pour éviter qu’il ne se reproduise à l’avenir.

Le secret d’une bonne procédure réside dans son anticipation !

Tout ce qui aura été organisé en amont vous fera gagner un temps précieux en aval. Notre équipe de professionnels est à votre disposition pour vous accompagner dans cette démarche.

Mais surtout, dans notre souci de simplifier chaque jour un peu plus vos actions de conformité, RGPD-Experts a développé Register +, un logiciel de suivi de votre conformité facile d’utilisation et entièrement sécurisé. Cette solution vous permet de centraliser sur une seule et unique plateforme l’ensemble de votre documentation RGPD. Notre outil comprend évidemment un accompagnement à la constitution de votre registre des violations et failles de sécurité, mais pas que !

 

 

Nous vous invitons à vous rapprocher de notre équipe pour tester notre solution et en savoir plus sur ces fonctionnalités :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] https://www.cybermalveillance.gouv.fr/diagnostic/4008fd34-144b-4f88-8edf-8571c5da593e

[2] https://support.deezer.com/hc/fr/articles/7726141292317-Violation-de-Donn%C3%A9es-par-un-Tiers

[3] Ou presque ! Compte tenu des subtilités de cette problématique et pour des raisons matérielles, cet article constitue une présentation générale du cadre légal applicable aux hypothèses de violation de données, mais n’est nullement exhaustif.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[5]  Si le responsable de traitement n’a pas encore à sa disposition toutes ces informations, les textes l’autorisent à notifier l’autorité de contrôle au fur et à mesure de ses propres investigations, c’est-à-dire de façon échelonnée en fonction des éléments qu’il découvrirait encore après le délai de 72 heures.

[6] En dehors des sanctions prévues par le RGPD, le fait pour un responsable de traitement de ne pas procéder à la notification d’une violation de données est puni de 5 ans d’emprisonnement et 300 000 € d’amende, conformément à l’article 226-17-1 du Code pénal.

[7] Conformément au principe d’ « accountability » prévu à l’article 5(2) du RGPD, le responsable de traitement est tenu non seulement de respecter la législation en vigueur en matière de protection des données, mais aussi d’être capable de démontrer à tout moment et par tout moyen sa conformité.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Nouvelle victoire pour noyb

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

 

Il y a deux ans, Noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L’agence autrichienne d’évaluation du crédit stockait des données non sollicitées de personnes jusqu’alors inconnues qui exerçaient leur droit légal d’accéder à leurs données. Aujourd’hui, l’autorité autrichienne de protection des données (DSB) a publié sa décision sur cette affaire : l’agence d’évaluation du crédit ne peut pas collecter de données par le biais de demandes d’accès à des registres d’état civil.

Décision de l’ORD autrichien.

L’agence d’évaluation du crédit stocke des données provenant de demandes d’information. Les Européens ont le droit de soumettre une demande d’information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l’identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d’identité, un nom, une adresse ou une date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que dans le but de répondre à une demande d’accès et doivent ensuite les supprimer à nouveau. Ce n’est pas le cas du leader du secteur des agences d’évaluation du crédit autrichiennes : KSV 1870 stocke des informations sur les personnes lorsqu’elles demandent l’accès à leurs données.

Approche systématique de la KSV. L’approche du KSV est systématique – nous avons reçu de nombreux cas similaires. Une personne concernée avait déposé une demande d’accès au titre de l’article 15 du GDPR auprès du KSV. L’agence de crédit a répondu qu’aucune donnée personnelle de la personne concernée n’avait été traitée. Du moins jusqu’à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée afin de faire valoir son droit d’accès seraient désormais stockées dans la « base de données commerciale ». Mais ce n’est pas tout : avant cela, les informations de la personne concernée provenant de la demande d’accès étaient comparées à ses données dans le registre central des résidents et ajoutées à la base de données des entreprises.

« L’ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d’information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d’innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger de la KSV la suppression des données traitées illégalement. » – Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu

DPA et Noyb sont d’accord : KSV agit de manière illégale. Les actions de KSV violent le principe de limitation de la finalité selon l’article 5, paragraphe 1, point b), du RGPD. Ce principe stipule que les données doivent être collectées dans un but précis. Un traitement ultérieur pour une autre finalité n’est autorisé que s’il est compatible avec la finalité initiale. Le DPD a estimé qu’il n’y avait aucune raison apparente de traiter les données de la demande d’accès aux notations de crédit, et qu’il n’y avait pas non plus de mandat légal pour la collecte générale des données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.

la Noyb surveille de près les négociants en données. Les industries dont l’activité principale est le commerce de données doivent être tenues à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d’évaluation du crédit ne sont guère réglementées : si elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, il n’existe aucune définition des informations spécifiques que cela inclut. Comme les agences d’évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.

 

achats en ligne

Directive police-justice

Directive « Police-Justice » : quelles sont les articulations avec le RGPD

 

La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le « paquet européen de protection des données à caractère personnel », composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ». La directive « Police-Justice » a ainsi été transposée en France au sein du chapitre XIII de la loi Informatique et Libertés.

Quel champ d’application de la directive « Police-Justice » ?

La directive « Police-Justice » établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Pour entrer dans le champ d’application de la directive « Police-Justice », un traitement de données doit donc répondre à deux conditions cumulatives.
D’une part, il doit poursuivre l’une des finalités mentionnées à l’article 1er. La directive « Police-Justice » a ainsi largement vocation à s’appliquer en « matière pénale » et, en particulier, aux activités menées par la police par exemple dans le cadre de la prévention et de la constatation de certaines infractions à l’occasion des déplacements des passagers ou encore aux traitements permettant la gestion des mesures d’application des peines prononcées par l’autorité judiciaire.

Les dispositions de cette directive peuvent également avoir vocation à encadrer les traitements mis en œuvre dans le cadre d’activités qui ne relèvent pas spécifiquement de la sphère pénale mais qui se rapportent à des activités de police effectuées en amont de la commission d’une infraction pénale. Peuvent ainsi relever des finalités encadrées par la directive « Police-Justice », les activités préventives de police aux fins de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une qualification pénale et les traitements mis en œuvre pour ces finalités.
D’autre part, le traitement, quelle que soit sa finalité, n’entre dans le champ de la directive « police justice » que s’il est mis en œuvre par une « autorité compétente ».

Un champ d’application distinct du RGPD

Le RGPD et la directive « Police-Justice » composent tous deux le « paquet européen relatif à la protection des données à caractère personnel ». Ils présentent des champs d’application distincts qui se veulent complémentaires.

Le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les Etats membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’Etat ou de défense nationale, et ceux mis en œuvre aux fins de la directive « Police-Justice ».

Un champ d’application excluant les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale

Les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale ne relèvent pas du champ d’application de l’Union européenne et restent régis par les dispositions de la seule loi « Informatique et Libertés ».

Quelles obligations pour les responsables de traitement agissant dans le cadre de la directive « Police-Justice » ?

Différentes obligations incombent au responsable de traitement, sachant que lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont considérés comme étant responsables conjoints du traitement.

Certaines obligations prévues par la directive sont identiques à celles prévues par le RGPD :

  • mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement soit conforme à la directive (article 19)
  • mettre en œuvre une protection des données dès la conception et par défaut : privacy by design and by default (article 20)
  • faire appel à des sous-traitants qui présentent des garanties suffisantes et qui ne pourront agir que sur instruction du responsable du traitement (article 22)
  • tenir un registre des activités de traitement (article 24)
  • mettre en œuvre des mesures de journalisation (article 25)
  • coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions (article 26)
  • réaliser une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 27)
  • consulter préalablement l’autorité de contrôle  dans les cas énumérés à l’article 28 de la directive
  • mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier pour les données dites sensibles (article 29)
  • notifier à l’autorité de contrôle les violations de données à caractère personnel dans les meilleurs délais, et si possible au plus tard dans un délai de 72h après en avoir pris connaissance, en cas de risques pour les droits et libertés d’une personne physique (article 30)
  • communiquer à la personne concernée la violation de ses données à caractère personnel lorsqu’il y a un risque élevé pour les droits et libertés de celle-ci (article 31)
  • désigner un délégué à la protection des données dans les conditions prévues à l’article 32 de la directive
  • respecter les conditions définies pour le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales (articles 35 et suivants)

D’autres obligations sont spécifiques à la directive « Police-Justice » :

  • établir, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, comme par exemple les personnes reconnues coupables d’une infraction pénale, les personnes victimes d’une infraction pénale, les tiers à une infraction pénale etc. (article 6)
  • distinguer entre les données à caractère personnel (données fondées sur des faits/données fondées sur des appréciations personnelles) et vérifier la qualité des données (article 7)
  • le traitement doit être licite, c’est-à-dire nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités prévues aux fins de la présente directive, et fondé sur le droit de l’Union ou le droit d’un Etat membre (article 8)
  • le traitement portant sur des données sensibles ne peut être autorisé qu’en cas de nécessité absolue (article 10)

Quels droits pour les personnes concernées ?

En raison de la spécificité du champ d’application de la directive « Police-Justice », des droits présents dans le RGPD ne se retrouvent pas dans la directive ou peuvent être assortis de limitations.

https://eur-lex.europa.eu/legal-content/EN/TXT/?toc=OJ%3AL%3A2016%3A119%3ATOC&uri=uriserv%3AOJ.L_.2016.119.01.0089.01.FRA

A.R

Fin des anciennes CCT

Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne

 

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
Les modèles de clauses contractuelles ont été mis à jour par la Commission européenne le 4 juin 2021.

À compter du 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées.
La Cour de justice de l’Union européenne , dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types peuvent toujours être utilisées pour transférer des données vers un pays tiers . Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.

Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent voir en particulier le considérant 145 de l’arrêt de la Cour, la clause 4 de la décision 2010/87/UE de la Commission, la clause 5 de la décision 2001/497/CE de la Commission et l’annexe II.

La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts , si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.

Où puis-je trouver les clauses contractuelles types de la Commission européenne ?

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr

Les nouvelles clauses contractuelles types remplacent les précédentes datant de 2001 et 2004. Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles clauses contractuelles types a été prévue .
Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données ont pu continuer à invoquer les anciennes clauses contractuelles types, mais au-delà cette période tous ont dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
À compter du 27 décembre 2022, les anciennes clauses contractuelles types ne peuvent plus être utilisées.

Qu’est-ce qui change avec les nouvelles clauses contractuelles types ?

Les nouvelles clauses contractuelles types, en plus de reprendre les principales protections des droits des personnes et clauses, apportent en outre plusieurs changements, pour tenir compte du RGPD et intégrer de nouveaux mécanismes.

Une structure par module.

Tout d’abord, les clauses contractuelles type combinent des clauses générales avec une approche par module pour répondre à divers scénarios de transfert.

Clauses multipartites ou « clauses d’amarrage »

Les nouvelles clauses contractuelles types permettent également à de nouvelles entités, quelles qu’elles soient, d’accéder aux clauses contractuelles types, et de devenir une nouvelle partie dans le contrat, comme sous-traitant ou responsable de traitement.
Elles permettent à plusieurs parties exportatrices de données de conclure un contrat et à de nouvelles parties d’y être ajoutées au fil du temps, au-delà des signataires initiaux.
Une nouvelle partie peut accéder au contrat seulement avec l’accord des autres parties du contrat.

Prise en compte de la législation du pays tiers de destination des transferts de données applicable à l’importateur

Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite « Schrems II » et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.

Effectuez les démarches nécessaires auprès de La CNIL.
Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.

A.R