Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

  • Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

  • Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

  • Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
  • Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
  • Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.
En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.
Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

 

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des analyses d’impact relatives à la vie privée et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

 

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

  • De 2 ans d’expérience dans le domaine de la protection des données
  • Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

 

Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO 

Le Délégué à la Protection des Données peut-être :

  • Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
  • Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.
  • Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).
AVANTAGES PRINCIPAUXAVANTAGES PRINCIPAUX
DPO Interne– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO – Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité. – Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes. – Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.           

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

– Conformité de votre site Internet : quels sont les points de vigilance ? –

Entre les informations collectées à travers des cookies et les renseignements recueillis auprès des internautes par un formulaire de contact, via leur compte individuel ou encore leur inscription à des newsletters, la gestion d’un site Internet entraine le traitement de nombreuses données personnelles.

Les organismes et les particuliers mettant en œuvre ces interfaces sont dès lors soumis aux exigences du Règlement Général sur la Protection des Données (RGPD).

RGPD-Experts vous livre ses conseils pour mener à bien vos projets en ligne !

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Conformément au principe de minimisation des données, vous n’êtes tenu de recueillir que les données pertinentes strictement nécessaires pour atteindre l’objectif poursuivi par leur collecte.

Concrètement, vous ne pouvez pas demander à vos interlocuteurs des renseignements personnels dont vous n’avez pas besoin dans l’immédiat.

Exemple : il n’est pas indispensable de connaître l’identité et les coordonnées complètes de l’internaute souhaitant s’abonner à votre newsletter. Seule son adresse e-mail est requise pour lui fournir ce service. En revanche, vous aurez besoin de ces éléments s’il commande un produit sur votre site Internet, afin de lui livrer le bien.

Nous vous conseillons de distinguer les informations obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Cette solution laisse le choix à l’utilisateur de vous fournir ou non davantage d’informations le concernant.

Nous vous recommandons également de limiter au maximum les zones de libres commentaires, c’est-à-dire les champs vides dans lesquels l’internaute peut consigner librement ce qu’il souhaite.

Non seulement ce dernier pourrait vous fournir plus de données que ce dont vous auriez besoin, mais il pourrait également vous communiquer spontanément des informations sensibles à son sujet. Or, le traitement de données sensibles est strictement encadré par le RGPD. Epargnez-vous ces complications tant que vous le pouvez !

Dotez-vous d’une politique de protection des données accessible et compréhensible

Pourquoi ? – Le RGPD impose d’informer les personnes concernées des principales caractéristiques du traitement fait de leurs données personnelles lors de leur utilisation de votre site Internet, ainsi que de leurs droits pour en conserver la maîtrise.

Afin de répondre à cette obligation légale, il est essentiel de définir une politique de protection des données.

Quoi ?  – Ce document, distinct des conditions générales de vente (CGV) ou des conditions d’utilisation du site (CGU), doit faire état de diverses mentions obligatoires expressément prévues par le RGPD.

Il doit a minima comporter les indications suivantes :

  • L’identité et les coordonnées du responsable du traitement de données ;
  • L’identité et les coordonnées du Délégué à la protection des données, s’il l’en a été désigné un – ou de la personne référente en matière de protection des données personnelles ;
  • Les finalités de chaque traitement de données lié à l’usage du site (le but de la collecte des données);
  • La base légale de chaque traitement de données (le fondement juridique vous donnant droit de traiter les données);
  • Le caractère obligatoire ou facultatif du recueil des données ;
  • Les destinataires ou catégories de destinataires des données (ceux qui pourront être amenés à y accéder ou à les recevoir, y compris les sous-traitants) ;
  • La durée de conservation des données, ou les critères permettant de déterminer cette durée ;
  • Les droits des personnes concernées (leurs droits d’accès, de rectification, d’effacement, à la limitation du traitement, ainsi que leurs droits d’opposition et à la portabilité des données s’ils sont applicables);
  • Le droit d’introduire une réclamation auprès de la CNIL[1].

Selon les opérations de traitement que vous mettez en œuvre, d’autres renseignements devront aussi éventuellement figurer, et notamment :

  • La nature des intérêts légitimes que vous poursuivez ou le droit pour l’utilisateur de refuser de donner son consentement ou de le retirer à tout moment, si telles sont les bases légales de votre traitement de données ;
  • L’existence d’un transfert des données en dehors de l’Union européenne et les garanties associées pour assurer un niveau de protection suffisant des données transmises à l’étranger ;
  • L’existence d’une prise de décision automatisée ou d’un profilage ainsi que ses conséquences pour la personne concernée et la logique sous-jacente de l’algorithme utilisé ;
ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].                   

Afin de répondre à ces exigences, il est donc impératif que votre politique de protection des données soit adaptée à votre propre situation et aux opérations de traitement que vous mettez en œuvre.

La CNIL exige que celle-ci reflète la réalité de vos activités, et ne soit pas rédigée de manière abstraite. Les phrases génériques de type « notre organisme est susceptible d’utiliser des données vous concernant pour mener à bien ses missions » sont à bannir. 

Comment ? – Selon l’article 12 du Règlement européen, cette information doit être « concise, transparente, compréhensible et aisément accessible ».

Cela implique notamment qu’elle soit formulée en des termes simples, adaptés au public visé.

Pour rappel, l’Autorité de Contrôle néerlandaise avait condamné en 2021 la société « TikTok » au paiement d’une amende de 750.000 euros pour ne pas avoir mis à disposition des adolescents inscrits sur l’application une information adaptée à leur âge et dans leur langue maternelle.

Les personnes concernées doivent aussi pouvoir consulter facilement votre politique de protection des données. A ce sujet, la CNIL préconise de recourir à une notice d’information accessible :

  • En plusieurs niveaux : c’est-à-dire de fournir rapidement les informations globales sur le traitement de données avant de renvoyer vers une description plus précise de ses conditions de mise en œuvre.
  • Sur différents canaux : liens, menus dépliants, « pop-up », icônes et vidéos d’explications, etc.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] En cas de collecte indirecte de données, votre politique de confidentialité devra également faire apparaître les catégories de données obtenues ainsi que leur source.

De même, si l’ensemble de ces informations doit être délivré aux personnes concernées au moment du recueil de leurs données en cas de collecte directe, elles doivent en principe leur être fournies « dès que possible » en cas de collecte indirecte – c’est-à-dire au 1er contact avec la personne concernée ou au plus tard dans un délai d’un mois.

Contrôlez le recueil du consentement des personnes concernées

Si certains traitements de données ont pour base légale le consentement, il vous appartient :

► D’organiser le recueil du consentement des personnes concernées [3]

Ce fondement juridique suppose que leur autorisation à la collecte et l’exploitation de leurs données personnelles résulte d’une déclaration ou d’un acte positif clairs.

Exemples :

▪ Sont considérées comme satisfaisantes les pratiques suivantes : le fait de cocher une case lors de la consultation d’un site, d’opter pour certains paramètres techniques d’application, de remplir un formulaire d’autorisation…

▪ Sont exclues les modalités de recueil du consentement suivantes : les cases pré-cochées par défaut, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), les consentements tirés de l’inaction de l’individu (l’absence de réponse à un courriel sollicitant le consentement)…

Afin d’être valable, le consentement doit répondre à quatre conditions cumulatives essentielles. Il doit être :

Libre – La personne concernée ne doit pas avoir été contrainte ni influencée de donner son consentement. Elle doit pouvoir refuser le traitement de ses données personnelles sans avoir à subir de répercussions négatives de ce refus.

Spécifique – Lorsque le traitement poursuit divers objectifs, un consentement distinct doit pouvoir être donné pour chacun de ces buts spécifiques.

Éclairé – La personne concernée doit avoir parfaitement conscience de la portée de son accord.

Univoque – Le consentement doit être exprimé sans ambiguïté.

Il vous appartient de justifier auprès des autorités de contrôle que vous avez bien obtenu le consentement licite des internautes dont vous manipulez les données.

Il est donc absolument indispensable que vous vous dotiez de moyens techniques permettant d’attribuer le consentement donné à son véritable auteur, ainsi que de dater précisément le moment du recueil voire du retrait du consentement – en prévention d’éventuelles contestations à ce sujet.

► D’organiser la modification et l’éventuel retrait de leur consentement

Vous êtes tenu de prendre toutes les mesures nécessaires pour permettre aux personnes concernées de retirer simplement et à tout moment le consentement initialement donné [4].

Exemple : Paramétrages d’application, lien de désabonnement au sein des newsletters ou mails publicitaires…

Vous devrez évidemment tirer toutes les conséquences de ce retrait, à savoir notamment :

·      Cesser immédiatement le traitement des données personnelles de l’auteur de cette rétractation ;

·      Effacer les données traitées, sur demande de la personne concernée et si aucune autre finalité ne justifie leur conservation (article 17(1)(b) RGPD).

► De documenter votre gestion efficace des consentements, conformément au principe “d’accountability”[5]

[3] ATTENTION – Le recueil du consentement des mineurs est soumis à des règles particulières, non détaillées au sein de cet article.

[4] Étant observé que cette rétractation n’aura pas pour effet de compromettre la licéité des traitements fondés sur le consentement mis en œuvre avant ce retrait.

[5] Le principe « d’accountability » est un principe de responsabilité sous-tendant que vous vous conformiez aux exigences en matière de protection des données d’une part, et que vous soyez en capacité de démontrer cette conformité en toutes occasions d’autre part.

Veillez à la bonne gestion de vos cookies et autres traceurs

Les cookies sont des fichiers informatiques émis par une page Internet, et transmis jusqu’au téléphone ou l’ordinateur de l’utilisateur. Ils sont ensuite stockés sur les serveurs de cet équipement terminal, et y collectent de nombreuses données personnelles.

Certains cookies techniques sont dits « obligatoires », en ce qu’ils sont indispensables au bon fonctionnement et à la sécurité du site Web.

D’autres, « non nécessaires », permettent d’optimiser les fonctionnalités du site et d’en adapter le contenu pour améliorer l’expérience de chaque usager (ciblage publicitaire, études statistiques sur les habitudes d’utilisation des internautes…)  [6].

Dans le cadre de votre conformité, nous vous recommandons à ce sujet :

D’informer les personnes concernées des principales caractéristiques des traitements de données issues de ces traceurs.

Nous vous invitons à rédiger une politique de confidentialité spécifique à votre gestion des cookies, distincte de votre politique générale de protection des données.

  • De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

  • De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [7].

  • De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [1].

Appréhendez correctement votre prospection commerciale

Selon la nature de votre client potentiel et le moyen de communication employé pour le contacter, la base légale du consentement peut vous être imposée pour ce traitement de données … avec toutes les conséquences que cela génère pour votre conformité [8] !

  • ATTENTION – En réaction aux réclamations relatives aux publicités non sollicitées subies quotidiennement par de nombreux particuliers, la CNIL a érigé la prospection commerciale comme l’un de ses thèmes prioritaires de contrôle pour l’année 2022. Ces pratiques feront l’objet d’une surveillance accrue.

Assurez-vous de respecter les règles propres au paiement en ligne

Si votre site Internet permet à vos clients de commander des biens ou des services en ligne, il vous appartient de prendre toutes les précautions nécessaires pour leur offrir un moyen de paiement dématérialisé conforme aux exigences du RGPD.

En cas de paiement ponctuel [9], nous vous invitons notamment à vérifier :

  • Que seules les données strictement autorisées sont collectées, à savoir le numéro, la date d’expiration et le cryptogramme visuel de la carte bancaire ;
  • Que, sauf consentement du client, ces données ne sont pas conservées une fois la transaction finalisée ;
  • Que des mesures de sécurité supplémentaires ont été instaurées pour éviter la compromission de ces données personnelles (mécanisme d’authentification renforcé, camouflage de tout ou partie de numéro de la carte lors de son affichage, etc.).

  • RGPD-Experts met à votre disposition ses outils et les compétences de professionnels reconnus pour vous permettre de rédiger en toute simplicité les mentions légales de votre site, de formuler votre politique de protection des données ou simplement de vous guider dans la conformité de votre page Web.Nous vous invitons à vous rapprocher de nos services pour bénéficier d’un accompagnement fiable et complet dans la mise en œuvre de vos projets en ligne..

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[7] Source : https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

[8] Ce en application de l’article L.34-5 du Code des postes et des communications électroniques. Si cette problématique vous intéresse, vous pouvez en apprendre davantage à travers notre publication : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[9] Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

 

Tenir à jour un registre de ses activités de traitement, respecter les droits des personnes concernées ou encadrer ses relations de sous-traitance : à coups d’articles de sensibilisation, ces grands principes édictés par le Règlement Général sur la Protection des Données (RGPD) commencent à être pleinement intégrés par les organismes traitant des données personnelles.

D’autres impératifs issus de ce texte n’ont malheureusement pas bénéficié de la même publicité.

Tel est notamment le cas de l’Analyse d’Impact relative à la Protection des Données ou « AIPD ». Grande oubliée des campagnes de communication, cette notion n’en demeure pas moins une obligation légale pour les responsables de traitement, et mérite à ce titre d’être elle aussi mise en lumière.

Qu’est-ce que cette mesure préventive ?

L’AIPD [1] est un processus consistant à décrire le traitement de données envisagé, avant son instauration, pour évaluer ses risques pour les personnes concernées et réfléchir sur ses conditions de mise en œuvre.

L’analyse d’impact est donc un outil précieux de responsabilisation. Elle aide le responsable de traitement à identifier en amont les possibles lacunes des opérations de traitement projetées, et lui permet ainsi d’adopter les mesures rectificatives requises pour agir en toute conformité.

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Tout traitement de données personnelles ne doit pas faire l’objet d’une AIPD. En application de l’article 35 du RGPD, seuls sont concernés ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Toute la question est donc de savoir ce que recouvre cette expression de « risque élevé pour les droits et libertés » ?

Ce risque s’entend généralement d’un événement redouté qui, s’il survenait, aurait des conséquences particulièrement néfastes pour les individus dont les données personnelles sont exploitées. Le type de dommage pouvant être subi par les éventuelles victimes est indifférent pour caractériser ce danger [2]

La nature du dommage craint est elle aussi indifférente. Il peut s’agir d’un préjudice d’ordre moral, physique, financier ou matériel.

L’équation est la suivante :

 

Niveau de risque = vraisemblance du risque X gravité du risque

Autrement dit, il est possible de baisser le niveau de risque en diminuant soit la probabilité qu’il advienne, soit l’ampleur des préjudices encourus par les personnes concernées s’il devait se manifester.

Mais encore ?…

Pas toujours évidemment de savoir si un traitement de données répond à cette définition. Afin de conclure s’il y a lieu ou non de mener une AIPD, nous vous conseillons de suivre le raisonnement suivant :

ÉTAPE 1  :

Vérifier si votre traitement figure expressément parmi ceux pour lesquels la CNIL [3] estime qu’une AIPD est requise ou, au contraire, exclue. Afin d’accompagner les professionnels dans leurs démarches, l’autorité de contrôle a en effet publié :

  • Une liste non exhaustive d’activités pour lesquelles elle jauge qu’une AIPD est nécessairement requise.

La liste complète de ces activités est disponible à l’adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Dans ce cas, nous vous recommandons de vous conformer à la doctrine de l’autorité régulatrice et de réaliser une analyse d’impact.

  • Une liste non exhaustive d’activités qu’elle considère comme étant exemptées d’AIPD.

L’énumération complète de ces activités est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf

Dans ce cas, il existera une forte présomption que vous n’ayez pas à mener une telle AIPD.

Toutefois, la présence de votre opération projetée sur cette liste ne doit pas vous empêcher de vous poser les questions prévues à l’étape 2.

Par exception, aucune analyse de risque n’est exigée lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

   1° Ce traitement soit prévu par la législation européenne ou nationale ;

   2° Que les textes constituant sa base juridique réglementent l’opération de traitement en question ;

   3° Qu’une AIPD ait déjà été menée lors de l’adoption de ce fondement juridique.

ÉTAPE 2  : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

 

Ce processus a vocation à déterminer si le traitement est de nature à porter atteinte aux droits et libertés des personnes, en particulier « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (art. 35 RGPD).

Selon les lignes directrices du Comité Européen de la Protection des Données[4], une AIPD doit être effectuée si le traitement remplit au moins deux des neufs critères suivants, à savoir qu’il implique :

  1. Une évaluation ou notation, y compris les activités de profilage et de prédiction ;

(Exemple : les traitements analysant les préférences des consommateurs sur un site en ligne afin de cibler leurs publicités selon leur profil marketing)

  1. Une prise de décision automatisée avec effet juridique ou effet similaire significatif ;

(Exemple : les traitements utilisés pour définir les conditions d’une police d’assurance, plus ou moins avantageuses en fonction des risques relevés dans la situation du souscripteur)

  1. Une surveillance systématique ;

(Exemple : les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées ou une zone géographique donnée, tels que les réseaux de vidéosurveillance ou de vidéoprotection)

  1. Une collecte de données sensibles ou données à caractère hautement personnel ;

(Exemple : données pénales, à caractère sexuel, données de santé / biométriques / génétiques, données syndicales ou politiques, données de religion, sur les origines, etc.)

  1. Une collecte de données personnelles à large échelle ;

Le CEPD précise que cette notion s’apprécie non seulement au regard du nombre de personnes concernées, mais également du volume de données traitées, de l’étendue géographie et temporelle de l’activité de traitement, du caractère proportionné de l’échantillon d’individus ciblés, etc.

  1. Un croisement de données ;

Tel est le cas si le traitement de données met en relation plusieurs informations personnelles collectées auprès d’un individu dans des contextes différents.

  1. Des données personnelles d’individus vulnérables ;

( Exemple : personnes âgées, malades ou handicapées, mineurs, demandeurs d’asile, mais aussi les salariés dans leurs rapports avec leur employeur, compte tenu du déséquilibre des pouvoirs existant entre eux.)

  1. Un usage innovant des données ou l’utilisation de nouvelles solutions technologiques ;

(Exemple : systèmes de reconnaissance faciale ou d’empreintes digitales, d’intelligence artificielle.)

  1. L’exclusion du bénéfice d’un droit/contrat.

(Exemple : les traitements utilisés dans le cadre de l’attribution ou du refus d’octroi de crédit bancaire)

Selon le CEPD, cette règle n’a pas vocation à être interprétée strictement.

Vous pouvez ainsi décider de conduire une AIPD alors même qu’un seul des neufs critères serait rempli, si vous estimez que le traitement présente malgré tout un risque élevé pour les droits et libertés des personnes concernées. A l’inverse, vous pouvez également considérer que, bien que votre traitement satisfait au moins deux de ces critères, une AIPD ne serait pas requise. 

ATTENTION – Le fait de réaliser une analyse de risque ainsi que la décision finale de mener ou non une AIPD à l’issue de cette analyse de risque sont laissés à la libre appréciation du responsable de traitement.

Charge à lui de justifier, en cas de contrôle, les arguments juridiques et de fait pris ayant conduit à sa décision.

Alors comment mener une AIPD si celle-ci s’impose ?

Les acteurs de l’AIPD

L’obligation de mener une AIPD incombe au seul responsable de traitement.

Toutefois, les textes précisent que celui-ci doit, à cette occasion, se faire entourer :

  • Du Délégué à la Protection des Données de l’organisme, s’il en a été désigné un. Ce dernier est investi d’une mission de conseil et sera tenu de superviser le déroulement de l’analyse.
  • De ses sous-traitants, qui ont le devoir de l’assister durant ce processus et de coopérer avec lui.
  • Il peut aussi, s’il le souhaite, demander leurs avis directement aux personnes concernées.

Nous vous recommandons également de consulter les membres impliqués de votre personnel, afin d’obtenir un retour terrain des modalités de mise en œuvre du traitement analysé (le fournisseur du produit ou logiciel utilisé, les collaborateurs appelés à manipuler les données, le responsable de la sécurité des systèmes d’information, les opérateurs techniques et de maintenance, etc.)

Le contenu de l’AIPD 

L’AIPD doit impérativement faire figurer les mentions obligatoires suivantes (art. 35 RGPD) [5] :

  • Une description des principales caractéristiques du traitement envisagé: nature des opérations projetées, finalités du traitement, volume et catégories de données devant être traitées, volume et catégories des personnes ciblées, ainsi que toute information relative aux aspects techniques et opérationnels de mise en œuvre du traitement (matériel utilisé, cartographie des flux de données, mesures de protection instaurées, etc.),
  • Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à l’objectif poursuivi,
  • Une évaluation des risques pour les droits et libertés des personnes concernées: quelle est la probabilité que survienne une atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles traitées ? Quelles seraient les répercussions d’un tel incident pour les potentielles victimes ?
  • Les mesures envisagées pour faire face aux risques identifiés, et les garanties adoptées par le responsable de traitement pour assurer la sécurité des données manipulées et sa conformité.

L’AIPD est un processus itératif. Il conviendra de réévaluer le risque tout au long de la vie du traitement.

Les éléments relatifs aux AIPD menées par votre organisme figurent parmi la documentation justifiant de votre conformité. Il convient donc de conserver précieusement toutes les pièces dont vous disposez à ce sujet, à titre de preuve.

La possible consultation de l’autorité de contrôle

Le responsable de traitement doit consulter la CNIL lorsque les résultats de l’AIPD mettent en évidence que le niveau de risque pour les personnes concernées demeure élevé malgré les mesures préventives prises pour l’atténuer.

Or, dans ce contexte, la CNIL peut faire usage de ses pouvoirs de contrôle et de répression si elle estime que la mise en œuvre de ce traitement constituerait une violation du RGPD. Le choix de communiquer ou non son AIPD à l’autorité régulatrice pour avis n’est donc pas une question à prendre à la légère…

* * *

Trop souvent incomprise, cette obligation légale de mener une AIPD constitue pourtant un enjeu de taille pour les responsables de traitement.

Outre d’éventuelles sanctions pénales ou judiciaires, tout manquement aux règles relatives aux analyses d’impact est passible d’une amende administrative dont le montant peut s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant retenu (art. 83 du RGPD).

RGPD-Experts a mis en place une méthodologie fiable et efficace pour mener à bien ce processus fastidieux au sein de votre organisme. Notre modèle prend en considération les particularités de votre structure, afin d’aboutir à une analyse fiable et adaptée à votre propre situation.

Nous vous invitons à contacter nos services si vous souhaitez être accompagnés dans la conduite de vos AIPD, et ainsi éviter de devoir consulter la CNIL avant de mettre en œuvre vos traitements de données.

L.H


[1] Aussi appelée « Analyse d’impact sur la vie privée » ou « DPIA », de l’anglais « Data Privacy Impact Assessment ».

[2] Peu importe qu’il soit à craindre une violation de leur droit au respect de leur vie privée, à la protection de leurs données personnelles, ou de tout autre droit fondamental (interdiction des discriminations, libertés de conscience et d’expression, liberté syndicale…).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] A cet égard, nous vous invitons à lire l’annexe 2 des lignes directrices du Comité Européen de la Protection des Données précitées.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

Dossier médical partagé et protection des données personnelles :

C’EST GRAVE DOCTEUR ?

 

Après de nombreux échecs, le “Dossier médical partagé” se refait une santé !

Le 3 février dernier, le gouvernement inaugurait sa nouvelle plateforme “Mon Espace Santé” (MES).

Cet outil, accessible via Internet après authentification, vise à aider ses utilisateurs à gérer leurs données de santé et à construire leurs parcours de soins avec les professionnels de santé.

Plutôt que de laisser à chaque citoyen le choix de recourir ou non à ce service public en ligne, comme il l’avait fait pour sa première version, le gouvernement a cette fois opté pour une méthode beaucoup plus radicale.

Depuis le début de l’année 2022, l’Assurance maladie communique ainsi à tous ses affiliés leurs identifiants personnels pour activer ce nouveau dispositif. A défaut de connexion ou d’opposition de la personne concernée dans les six semaines suivant la réception de ce courrier/courriel d’information, un compte individuel lui est automatiquement créé sur cet “Espace Numérique de Santé” [1].

 

Quelles sont les fonctions projetées de « Mon Espace Santé » ?

Prenons la température des objectifs et paramètres de cette plateforme.

Toutes les fonctionnalités de cette interface ne sont pas encore disponibles, tels que l’agenda e-santé et le catalogue d’outils et de services, pourtant prévus par les textes. A terme, cette solution regroupera les configurations suivantes[2] :

Qui pourra accéder à « Mon Espace Santé » ?

Chaque utilisateur peut paramétrer son Espace Numérique de Santé afin de déterminer la liste des professionnels de santé autorisés à déposer des informations sur son compte, ou à en prendre connaissance. Les choix opérés par les assurés à cet égard sont, là encore, modifiables à tout instant.

Ces autorisations d’accès peuvent être temporaires ou définitives. Elles peuvent porter sur l’ensemble des données contenues dans l’application, ou être limitées à certains documents.

Quoi qu’il en soit, la communication des données renseignées sur cette plateforme ne peut en aucun cas être exigée par des tiers, en particulier lors de la conclusion d’un contrat – notamment d’assurance.

Et pour cause, en disposant de ces renseignements sensibles vous concernant, vos interlocuteurs seraient en mesure d’effectuer divers pronostics… et d’ajuster le montant de vos cotisations en fonction de vos risques de présenter, à plus ou moins long terme, des problèmes de santé. Des pratiques abjectes, mais qui ne sont malheureusement pas si anecdotiques !

Quid du « Dossier médical partagé » intégré dans l’ENS ?

Le “Dossier Médical Partagé” (DMP) constitue une sorte de carnet de santé digital. Il vise à « favoriser la prévention, la coordination, la qualité et la continuité des soins des personnes concernées »[3].

Il contient :

  • Les données versées par les praticiens autorisés à l’issue de leurs consultations: l’état des vaccinations du patient, ses synthèses médicales et paramédicales, comptes-rendus d’hospitalisation, résultats d’analyses biologiques ou d’examens d’imagerie médicale, les actes diagnostiques et thérapeutiques réalisés, etc.
  • Les données que le titulaire du compte a éventuellement lui-même ajoutées : ses allergies, ses antécédents familiaux, ses documents de santé émis avant l’ouverture de son Espace Numérique de Santé, ses volontés en matière de don d’organes ou ses directives anticipées, l’identité du proche à prévenir en cas d’urgence, etc.

Hormis le médecin traitant éventuellement désigné par le titulaire du compte – qui peut accéder à l’ensemble des données inscrites dans son Dossier Médical Partagé – les autres soignants devront impérativement avoir obtenu le consentement de leur patient pour s’y connecter[4].

Une dérogation est prévue en cas d’urgence. Si l’état du malade l’exige, tout professionnel de santé peut consulter son Dossier Médical Partagé sans son autorisation, à moins que celui-ci ait expressément indiqué s’y opposer dans ses informations personnelles.

Afin que les affiliés puissent s’assurer du respect de la confidentialité de leurs données personnelles de santé, la plateforme est équipée d’un outil de traçabilité des connexions. Lors de chaque intervention par un tiers sur son Espace Numérique de Santé, l’utilisateur reçoit ainsi en principe une notification reprenant la date, l’heure, l’action réalisée (dépôt de document, consultation, modification…) et l’identification de son auteur.

Un remède suffisant pour prévenir toutes dérives ? L’avenir nous le dira !

Quels sont mes droits en tant qu’utilisateur ?

Sur leur Espace Numérique de Santé comme sur leur Dossier Médical Partagé, les assurés peuvent naturellement exercer les droits qui leur sont reconnus par la législation en vigueur en matière de protection des données.

Étant les seuls gestionnaires de leurs comptes, ils peuvent à cet égard :

  • Extraire les données qui y figurent, en application de leur droit d’accès et de leur droit à la portabilité de leurs données ;
  • Les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • Effacer les renseignements qu’ils auraient eux-mêmes déposés[5] ;
  • Limiter le traitement de leurs données, en réduisant les droits d’accès des professionnels de santé ;
  • Clôturer à tout moment leur compte, en application de leur droit d’opposition.

Dans ce cas, les données contenues sur la plateforme seront conservées pendant une durée de 10 ans, sauf si le titulaire du compte sollicite spécifiquement leur suppression [6].

AVIS aux professionnels de santé !

Vous êtes amenés, en tant que soignant, à traiter chaque jour des données de santé ?

L’instauration de cette nouvelle version du “Dossier Médical Partagé” est susceptible d’impacter votre pratique au quotidien !

Notez qu’il est indispensable d’interroger vos patients sur la question de savoir s’ils vous autorisent à consulter et à alimenter leur compte personnel. A défaut, toute connexion à leur Dossier Médical Partagé constitue un accès illégitime, et vous expose à des sanctions judiciaires, pénales ou émanant des ordres professionnels.

Vous devez également respecter les droits dont bénéficient vos patients pour la protection de leurs données personnelles. A cet égard, vous êtes tenus répondre aux demandes d’accès et de rectification qui vous seraient adressées par ces derniers si vous êtes à l’origine du document objet de leur requête [7].

Nous attirons également votre attention sur le fait que, comme le rappelle l’article R.1111-40 du Code de la Santé Publique, le Dossier Médical Partagé ne se substitue pas au dossier que tient chaque professionnel de santé, quel que soit son mode d’exercice, dans le cadre de la prise en charge d’un patient.

Or, à cet égard, des règles spécifiques s’imposent compte tenu de la sensibilité des données que vous manipulez : mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques pour les droits et libertés des personnes concernées, recours à des prestataires agréés ou certifiés pour l’hébergement, le stockage ou la conservation des données de santé, etc.

Si vous n’êtes pas certains d’agir dans le respect de la législation en vigueur en matière de protection des données personnelles, il est encore temps de dresser le diagnostic de votre conformité !

A l’heure ou nous finissions la rédaction de cette article, la CNIL, publie une FAQ sur le sujet pour l’information du grand public, qui comme toujours est extrêmement clair que nous vous invitons à consulter en complément.

L.H

[1] Les utilisateurs peuvent néanmoins changer d’avis à tout moment, en demandant la clôture de leur Espace Numérique de Santé.

[2] Les conditions d’instauration et de mise en œuvre de cet Espace Numérique de Santé ainsi que du Dossier Médical Partagé inclus en son sein sont régies par les articles L.1111-13 et suivants et R.1111-26 et suivants du Code de la Santé Publique.

[3] Conformément à l’objectif défini à l’article L.1111-14 du Code de la Santé Publique (CSP).

[4] Cette autorisation sera alors réputée valoir pour tous les membres de l’équipe de soins à laquelle appartient ce professionnel habilité.

[5] Les utilisateurs ne peuvent toutefois pas retirer les documents versés sur leur compte personnel par des praticiens. Ils devront, dans ce cas, demander directement à l’auteur de l’information de la retirer.

[6] A l’inverse, si vous n’avez pas sollicité la destruction des renseignements vous concernant figurant dans l’application, il vous est possible de demander à tout instant, dans ce délai de 10 ans, le rétablissement de votre compte et de vos données de santé archivées.

[7] Article R.1111-51 du Code de la Santé Publique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

 

Le 5 avril 2022, la CNIL[1] rappelait avoir mis à disposition sur son site Internet un ensemble de documents explicatifs consacrés à l’Intelligence Artificielle (IA). Outre ses pouvoirs de contrôle, l’autorité régulatrice a pour mission d’informer le grand public sur divers sujets liés à la protection des données personnelles, ainsi que d’accompagner les professionnels dans leur conformité. Dans ce contexte, la Commission a jugé utile de vulgariser les connaissances des citoyens sur cette innovation nébuleuse qu’est l’Intelligence Artificielle.

La CNIL n’a évidemment pas sorti cette thématique de son chapeau par hasard.

Selon un sondage IFOP de 2017, 83% des Français auraient déjà entendu parler des algorithmes[2]. Toutefois, la moitié des personnes interrogées reconnaissait ne pas comprendre précisément en quoi consistent ces programmes. Pire, 64% d’entre elles s’avouaient inquiètes du développement de ces technologies.

D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes [3] et l’Intelligence Artificielle en 2017.

Si l’expression “Intelligence Artificielle” est fréquemment associée à un monde moderne et futuriste, elle ne relève pourtant pas du fictif. Comment cet univers surnaturel est-il devenu, justement, si naturel ?

L’intelligence Artificielle : supercherie ou véritable utilité ?

A ce jour, aucune définition officielle n’a été adoptée pour déterminer ce qu’englobe le terme d’ « Intelligence Artificielle ». Il est généralement entendu comme un domaine de la science tendant à permettre à des appareils électroniques de faire ce dont l’homme est capable moyennant une certaine intelligence.

Comme par enchantement (ou presque), votre ordinateur se voit ainsi en mesure de vous battre aux échecs, ou votre voiture autonome apte à vous conduire seule à bon port. Le Parlement Européen définit l’IA comme tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[4]. Ne vous bercez pas d’illusions, ces systèmes sont déjà omniprésents dans notre environnement.

Exemple 1 : Les agents conversationnels ou « ChatBots »

De nombreux organismes ont recours à des “ChatBots” dans le cadre de leurs relations avec les clients, notamment pour la gestion des réclamations ou la fourniture d’une assistance en ligne. Nous parlons bien de la « personne » avec qui vous conversez lorsque vous rencontrez un problème sur le site de votre banque, dans vos démarches dématérialisées, ou encore lorsque vous interrogez Siri, Google Assistant ou Alexa sur la météo de demain.

Ces robots conversationnels sont capables de comprendre la question qui leur est adressée en fonction de son contexte et d’y répondre de manière standardisée. Ils constituent des formes d’Intelligence Artificielle.

 

Capture d’écran d’un ChatBot sur le site de la Caisse d’Allocations Familiales

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

Ces techniques d’IA sont notamment utilisées à des fins de profilage en ligne. Elles permettent de vous proposer des contenus adaptés à vos préférences.

Exemples : suggestions de recherche sur le web, prédiction de mots sur vos claviers de portable, recommandations sur les réseaux sociaux ou les plateformes de streaming (musiques conseillées sur Deezer ou Spotify, liste de vidéos suggérées sur Netflix, etc.).

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Le marché regorge désormais d’applications destinées à aider les entreprises à améliorer et accélérer leurs procédures, que ce soit en interne (aide au recrutement, prédiction du « turn over » des salariés…) ou en externe (algorithme de calcul pour l’attribution ou non d’un prêt bancaire, des risques assurantiels…).

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

Afin de réaliser la tâche qui lui a été attribuée, la machine se voit d’un procédé automatisé reposant sur des algorithmes. Cette technique lui permet comme par magie, ou plutôt par l’application de règles mathématiques préalablement définies (des “modèles d’IA”), de générer une déduction ou une prédiction.

Grâce à ces modèles d’IA, l’appareil peut généralement étendre lui-même son champ de connaissances au fur et à mesure qu’il élargit sa base de données, par une méthode dite “d’apprentissage automatique“. Autrement dit, l’IA améliore sans cesse sa capacité à mimétiser les comportements humains à partir des informations qu’elle recueille progressivement. Ce tour de passe-passe repose donc sur la collecte et le traitement massifs de données potentiellement personnelles.

L’Intelligence Artificielle : un monde féérique ?

Si l’Intelligente Artificielle présente des avantages indéniables pour ses utilisateurs (gain de temps, d’énergie voire de fiabilité), sa mise en œuvre n’est toutefois pas sans risques. Ces algorithmes sont susceptibles de faire de nombreuses erreurs, qui peuvent être liées :

  • A la conception de leur système : les « biais discriminatoires »

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

Exemple : un échantillon de population insuffisamment large utilisé pour calibrer certains dispositifs de reconnaissance faciale peut induire des difficultés à identifier des individus de certaines origines ethniques.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

Exemple : inclure le sexe d’un candidat à l’embauche comme un critère de sélection, et non ses seules qualifications et compétences, est susceptible d’aboutir à une décision discriminante [5].

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Exemple : la machine constatant que, statistiquement, les individus décèdent très fréquemment dans leur lit pourrait en déduire à tort qu’il serait dangereux de dormir, plutôt que d’estimer qu’il lui manque une information supplémentaire à son analyse, à savoir l’état de faiblesse du défunt avant sa mort.

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

  • Soit les conséquences d’erreurs humaines dans l’écriture des programmes.

En effet, la logique de raisonnement assignée à l’appareil a été pensée par l’homme, avec toutes les déviances et la subjectivité que cela implique.

  • Soit le reflet de problèmes sociétaux actuels.

L’IA se fondant sur des statistiques issues de données réelles, elle a ainsi malheureusement tendance à reproduire voire à amplifier les inégalités de fait et discriminations existantes.

  • A leurs conditions d’utilisation

La mauvaise qualité des données (telle qu’une photo prise dans un lieu sombre pour une reconnaissance faciale) ou des défauts liés au matériel utilisé sont de nature à fausser les résultats de l’algorithme.

  • A leurs infrastructures ou à des défaillances informatiques « ordinaires » (piratage, endommagement des équipements terminaux, erreur humaine…)

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés. 

Les réflexes à adopter pour les utilisateurs 

Nous vous conseillons d’abord de vérifier systématiquement si vous interagissez avec un robot ou une personne réelle. En cas de doute, n’hésitez pas à questionner votre interlocuteur ou le service compétent.

Nous vous recommandons de limiter au maximum la transmission de vos données personnelles si cela n’est pas nécessaire (formulation de question générique, claire et simple dans un chatbot ; utilisation du mode « navigation privée » sur Internet pour limiter votre profilage selon votre historique, etc.). Gardez à l’esprit que la proposition ou suggestion émanant de la machine peut être erronée.

 

Afin de ne pas vous faire mener à la baguette, vous pouvez enfin exercer les droits qui vous sont reconnus pour conserver la maitrise de vos données personnelles, tel que votre droit d’information sur les caractéristiques principales de ces traitements de données.

L’article 22 du RGPD précise notamment que toute personne a le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Dans ce contexte, vous pouvez demander à connaître la logique sous-jacente à ces prises de décisions automatisées. Vous êtes aussi en droit d’exiger l’intervention d’une personne humaine dans le processus décisionnel, d’exprimer votre point de vue sur la décision ou de la contester.

Les réflexes à adopter pour les professionnels

Conformément au principe de minimisation des données et de protection des données dès la conception, nous vous invitons à concevoir vos algorithmes de manière à restreindre autant que possible la collecte d’informations personnelles des individus concernés[6].

Les responsables de traitement doivent également faire preuve de transparence à l’égard des personnes ciblées par ces systèmes d’IA. En ce sens, il y a lieu d’indiquer si elles correspondent avec un robot, d’expliquer la méthode de raisonnement globale appliquée par l’algorithme, et de motiver chacune des réponses ou décisions éventuellement prises grâce à ces dispositifs. Les professionnels sont aussi tenus de faire superviser l’utilisation de ces technologies par un humain.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

 » La Commission Européenne a adopté le 23 février dernier une proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données, plus connu sous le nom de “Data Act”. Ces dispositions visent notamment à créer un marché unique des données et à réguler les pratiques des plateformes numériques. »

De nombreux autres textes sont en cours de rédaction à l’échelle européenne afin d’encadrer davantage l’utilisation de l’Intelligence Artificielle, tels que :

  • Le Règlement ePrivacy, qui fixera les règles applicables en matière d’IA dans les services de communication électronique, et notamment sur les réseaux sociaux ;
  • Le Règlement sur l’Intelligence Artificielle proposé par la Commission Européenne en avril 2021, qui vise à trouver un juste équilibre entre le développement de ces technologies innovantes et la protection des données personnelles des citoyens européens.

Les lignes conductrices de ces législations en débat ont été publiées par les institutions compétentes. Nous vous invitons à vous inspirer dès maintenant des principes essentiels formulés par ces textes dans votre organisme, afin que votre mise en conformité s’effectue en un tour de main lorsqu’ils entreront en vigueur.

L.H


[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes et l’Intelligence Artificielle en 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[3] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[4] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[5] En effet, si l’entreprise n’a recruté que des hommes au cours des dernières années, l’algorithme est susceptible de conclure que la condition d’être de sexe masculin répond aux attentes de l’organisme.

[6] Le respect de ces impératifs se révèle d’autant plus important concernant le recueil de catégories de données sensibles ou susceptibles de conduire à des discriminations.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Ayez le vent en poupe ! Pensez votre conformité comme un atout plus qu’un fardeau.

Alors que la législation française encadrait déjà les activités de traitement de données personnelles depuis plus de quarante ans[1], l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a été vécue par de nombreux organismes comme un véritable raz-de-marée.

Beaucoup d’entre eux y ont vu une vague d’obligations légales s’ajoutant à celles déjà existantes, et une entrave de plus à la poursuite de leurs activités.

Face à ces nouvelles exigences, il vous est possible d’adopter deux comportements :

  • Soit vous décidez de nager à contre-courant, vous épuisant à instaurer les règles minimales imposées par les textes, sans convictions.
  • Soit vous choisissez de vous laisser happer par cette nouvelle dynamique insufflée par le RGPD, en essayant de comprendre le sens de la marée pour ne pas vous laisser balloter par les flots.

Nous vous conseillons évidemment d’opter pour cette seconde philosophie. Après tout, « c’est pas l’homme qui prend la mer, c’est la mer qui prend l’homme » Tintintin. (Renaud)

Car, au-delà de leur caractère impératif, ces dispositions, constituent, une véritable opportunité pour votre organisme si elles sont correctement appréhendées.

Votre conformité ? Un gage d’efficacité et de compétitivité incontestable !

L’application quotidienne des grands principes édictés par le RGPD s’inscrit dans les démarches d’amélioration continue mises en œuvre par votre structure.

Le règlement européen érige ainsi en règle fondamentale la « minimisation des données ». Autrement dit, seules doivent être collectées les données pertinentes au regard de l’utilisation qui en est faite.

Et, même si cela coule de source : qui dit moins de données recueillies, dit moins de risques de violation de la législation.

 

Afin de concrétiser ce principe, il appartient à votre organisme de dresser une cartographie de ses flux de données, entité par entité, service par service : quelles informations sont recueillies ? Dans quel but ? A qui sont-elles transmises et conservées ? Comment ?

Cette revue est l’occasion de vous interroger sur la pertinence de certaines de vos activités ou process.

Or, réduire au strict nécessaire le nombre d’informations à traiter, d’intermédiaires les manipulant ou encore le nombre d’étapes d’exploitation de ces renseignements, participe à optimiser le fonctionnement de votre structure.

 

Exemple : Inutile de demander à des prospects de remplir sur une fiche papier, retranscrite manuellement ensuite dans un fichier informatique, leurs coordonnées et leur état civil complets, si l’objectif n’est que d’être en mesure de les joindre par la suite. Un simple formulaire de contact en ligne comportant un pseudonyme et une adresse e-mail suffit !

Le RGPD réaffirme également le principe d’exactitude des données. Or, détenir des informations mises à jour est évidemment dans l’intérêt de votre entité.

[1]  Notamment sur le fondement de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés », encore applicable de nos jours dans sa version modifiée.

Finis les rappels malencontreux d’anciens clients, qui plus est avec qui vous seriez en mauvais termes, au prétexte que leur numéro figurerait toujours sur vos annuaires, alors que le règlement interdit tout rappel de clients restés sans contact positif depuis plus de 3 ans. La CNIL vous a lancé une bouée dans un référentiel dédié.

Le RGPD oblige à une gestion efficace de vos traitements de données, et par là même de vos outils de travail – tant informatiques que les supports papier.

Votre conformité ? Un atout commercial indéniable !

Face à l’essor des appels indésirables, formulaires d’inscription ou newsletters non sollicitées, le respect de l’intimité des clients est devenu pour ces derniers un véritable critère de sélection.

Par définition, les obligations prescrites par le RGPD tendent à préserver le droit à la vie privée des individus concernés par le traitement de leurs données personnelles.

 

Informer clairement vos interlocuteurs (clients, prospects, fournisseurs) de ce que vous faites des informations qu’ils vous confient, et répondre rapidement et sans ambiguïté à leurs demandes d’exercice de droits – comme le prévoit les textes – répond à ces nouvelles attentes de transparence.

Prévoyez des outils permettant à vos clients de reprendre la main sur leurs données par le biais de leur compte client : s’abonner ou se désabonner à vos newsletters et offres promotionnelles, paramétrer les outils de communication (mail, sms, courriers) ou encore permettre la mise à jour de leurs données.

En favorisant la confiance du public dans votre capacité à assurer la sécurité de leurs données, vous renforcez d’autant votre image de marque… Et vous vous démarquez de vos concurrents qui auraient échoué sur ce point !

 

Votre conformité ? Un outil de navigation précieux !

Le responsable de traitement est tenu de prendre toutes les mesures de sécurité juridiques, physiques et logiques nécessaires pour assurer la protection des données qu’il exploite.

Cette obligation de prévenir les failles de sécurité et les cyberattaques n’est pas futile. Bien au contraire !

Ces événements malheureux inhibent l’exercice régulier de vos missions. Ils mobilisent d’importants moyens pour les résoudre. Une perte de temps, d’énergie et d’argent que votre organisme peut s’épargner si vous anticipez correctement ces éventuelles perturbations.

Organiser la maintenance de vos réseaux informatiques pour empêcher tout dysfonctionnement, mettre en place des dispositifs de détection des incidents de sécurité, adopter une procédure sur les démarches à suivre pour assurer la continuité et la reprise de vos activité en cas de crise… sont des formalités, directement déduites des dispositions du RGPD, qui contribuent à éviter ces récifs.

La législation en vigueur en matière de protection des données constitue ainsi une opportunité de sécuriser votre patrimoine informationnel, qui compose votre capital immatériel.

Exemple : Le RGPD vous impose de ne conclure de partenariats qu’avec des sous-traitants présentant des garanties suffisantes en termes de conformité. Cette précaution permet de s’assurer que vos prestataires ne révéleront pas, volontairement ou involontairement, diverses informations vous distinguant de vos concurrents sur le marché.

Il peut s’agir de protéger des renseignements d’ordre technique (secrets de fabrication, savoir-faire…), juridique, financier (bilan comptable), commercial (stratégie de développement, fichiers clients, résultat d’études de marché, négociations en cours, carnet de commandes…) ou encore humain (contexte social de l’entreprise).

Votre conformité donne donc à votre entreprise les moyens de se développer en toute sérénité.

Votre conformité ? Une méthode de gestion des risques inévitable !

 

L’autorité de contrôle en matière de protection des données[2] est habilitée à prononcer de nombreuses sanctions en cas de violation de vos obligations. Ces condamnations peuvent aller jusqu’à une limitation temporaire ou définitive du traitement de données constituant le cœur de votre activité ! Sans compter les risques de poursuites pénales, si ces faits sont constitutifs d’une infraction.

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

 

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

Si des manquements au RGPD vous étaient imputés, ceux-ci pourraient également impacter l’équilibre économique de votre organisme.

A cet égard, les amendes administratives susceptibles de vous être infligées ne sont pas les seules menaces pesant sur vos finances.

Au même titre que les déclarations fiscales, sociales ou environnementales, votre conformité entre dans le cadre des garanties dont vous seriez redevables dans l’hypothèse d’une cession ou d’une fusion-acquisition de votre société.

Elle constitue donc, à l’inverse, un élément de valorisation de votre entreprise dans le cadre de ces négociations, et évite un auto-sabordage.

Enfin, les échos de votre éventuelle non-conformité seraient de nature à porter considérablement atteinte à votre réputation. Ils amenuiseraient votre attractivité aux yeux de vos partenaires commerciaux.

Mais non ! Respecter le RGPD, ce n’est pas la mer à boire !

L’esprit du texte européen vise à inciter les responsables de traitement à adopter des mesures adaptées au risque.

Il est davantage question d’insuffler des réflexes et des processus conformes aux principes essentiels du RGPD, plutôt que d’appliquer sans réfléchir des doctrines incomprises. Autrement dit : du bon sens et de l’intérêt pour le sujet, plutôt que l’instauration de formalités purement protocolaires et de dispositifs techniques inappropriés.

Face à cette marge de manœuvre qui vous est octroyée, à vous de décider des meilleurs moyens pour ancrez profondément dans votre organisme une « logique » RGPD, tout en gardant le cap sur vos stratégies de développement !

Larguez les amarres ! Formez-vous et faîtes vous accompagner par des professionnels pour comprendre véritablement l’essence de la législation en vigueur en matière de protection des données, ainsi que sa concrétisation dans votre propre structure.

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Une entreprise sur 3 ne connait pas les implications liées au CLOUD Act.

Une récente étude démontre que les enjeux règlementaires liés au CLOUD Act ne sont pas maitrisés par les entreprises. C’est évidemment un gros problème quand elles confient l’hébergement de leurs données aux grands services Cloud.

Quels sont les impacts liés au RGPD quand vous ignorez ce qu’implique le CLOUD Act ?

Depuis peu, les entreprises pensent respecter le RGPD en exigeant des prestataires d’hébergement le stockage en Europe. Mais trop peu d’entreprises ont parfaitement intégré les risques en matière de confidentialité quand les services d’hébergements sont soumis au CLOUD Act.

Le CLOUD Act c’est quoi ?

L’acronyme Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, que nous pourrions traduire dans la langue de Voltaire par « Clarifier la loi sur l’utilisation légale des données à l’étranger ou la loi CLOUD » est contraignant pour  les prestataires d’hébergement Américains. Un simple mandat ou une assignation les obligent à transmettre les données stockées sur les serveurs. Que les serveurs soient aux USA ou sur d’autres continents, la justice américaine s’octroie les droits.

Donc toutes les données y compris les données à caractères personnels mais aussi brevets, savoir-faire, sont accessibles sur simple demande aux forces de l’ordre fédérales ou locales. Le CLOUD Act crée un cadre juridique qui permet de prendre connaissance du contenu de n’importe quelle donnée sur n’importe quel  serveur n’importe où. Aucune information du Responsable de traitement, pas plus que les juridictions étatiques des états hébergeant les données.

En ayant recours à une entreprise soumise au Cloud Act, les responsables de traitement abandonnent tacitement la confidentialité des données.

Et si les données sont chiffrées ?

Le chiffrement est naturellement un moyen d’assurer la sécurité des données. Néanmoins, le chiffrement de l’ensemble des données est rarement possible notamment car il ralentit considérablement l’exécution des tâches. Si vraiment la justice s’intéresse à vos données, elle se donnera les moyens de contourner le chiffrement, elle a déjà été en mesure de déchiffrer des données d’iphone.

Transparence auprès de vos clients.

Rappeler dans sa politique de protection des données qu’elle est la seule à pouvoir prendre connaissance de vos données est un mensonge. En utilisant l’un des prestataires Américains le responsable de traitement s’expose à une perte de confidentialité.

Le dire c’est bien… Le faire c’est mieux !

Si votre entreprise met réellement tous les moyens en œuvre concernant la protection des données, elle doit s’interdit de stocker les données de ses clients et les siennes chez un hébergeur soumis au CLOUD Act. C’est la moindre des choses en matière de transparence.

En d’autres mots, il est inutile de porter son attention sur localisation du stockage de données dans le Cloud si votre hébergeur est soumis au CLOUD Act. Cette condition n’est pas suffisante pour s’opposer à justice Américaine.

Bien que cette législation soit controversée, Le CLOUD Act a reçu l’appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. L’administration Trump a fait plier Microsoft en l’obligeant à transmettre les données d’une messagerie Outlook d’un trafiquant de drogue.

Quelles sont les solutions ?

Préférer des acteurs Français ou Européens. La France regorge d’hébergeurs qui sont largement à la hauteur de grandes entreprises Américaines ;
Le prix ne fait pas tout, lisez bien les contrats des différents prestataires ;
Imposez une clause qui interdit le recours à un prestataire soumis au CLOUD Act et au Patriot Act ;

Et pour mes sous-traitants ?

Il est préférable d’inclure une clause interdisant le recours aux prestataires soumis au CLOUD Act. Si c’est une clause particulièrement restrictive, elle est la preuve de votre engagement assurément un avantage concurrentiel.