Le coût de la conformité

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

A l’occasion de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, de multiples responsables d’organismes ont appréhendé cette législation comme une contrainte supplémentaire inhibant la gestion de leurs activités.

Six ans passés après l’adoption de ce texte, nombre d’entre eux continuent de percevoir les questions relatives à la protection des données personnelles uniquement comme un trou dans leur portefeuille et une source de dépenses inutiles. Mais est-ce vraiment le cas ?

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

La mise en conformité initiale d’une entité et le maintien de sa conformité l’exposent effectivement à s’acquitter de diverses charges.

Mettre en place et tenir à jour un registre des activités de traitement, réaliser des analyses d’impact sur la protection des données, créer des procédures internes, gérer efficacement les demandes d’exercice de droits des individus concernés, former et sensibiliser ses collaborateurs sur ces problématiques voire recruter des personnes compétentes… : respecter la législation applicable en matière de protection des données personnelles suppose la mobilisation de moyens humains et matériels non négligeables.

Cela implique généralement l’installation de dispositifs techniques appropriés, ainsi que l’aménagement de créneaux dédiés à la prise en compte de ces enjeux dans l’emploi du temps des professionnels impliqués. Or, cela est bien connu : « le temps, c’est de l’argent » !

Force est donc de reconnaître que l’instauration de ces mesures nécessite que l’entité verse pour ce faire un peu de sa poche...

Plutôt que de dresser des comptes d’apothicaires afin de calculer l’impact de vos démarches de conformité sur votre budget, nous attirons votre attention sur le fait que le RGPD permet une certaine flexibilité. Vos efforts doivent être adaptés à la réalité des missions menées par votre organisme.

Le degré d’exigence de ce règlement diffère selon l’importance des menaces que représente votre activité pour la protection des données personnelles.

Les mesures à instaurer ne seront ainsi pas les mêmes d’un organisme à l’autre selon le volume de données personnelles qu’il traite quotidiennement, le caractère sensible ou non de ces informations, ou encore le nombre de personnes manipulant ces renseignements.

Il n’y a donc pas forcément besoin de sortir les grands moyens ! Des mesures allégées peuvent, selon les cas, parfaitement suffire à honorer ces obligations légales.

Le coût de votre conformité s’avère donc un coût maitrisé, et potentiellement limité.

Reste à savoir si ces frais sont pour autant de l’argent jeté par les fenêtres. Rien n’est moins sûr…

Plutôt que de prendre pour argent comptant la prétendue onérosité de votre conformité, examinons pourquoi ces sommes constituent en réalité un investissement et non une perte sèche pour vos finances.

Oui, oui, vous avez bien lu : il s’agit bien d’un INVESTISSEMENT !

① Les économies réalisées grâce à votre conformité

Contrairement aux croyances populaires, l’application des dispositions du RGPD a pour effet, en pratique, d’optimiser le fonctionnement de vos opérations de traitement de données. Elle participe ainsi aux démarches d’amélioration continue de votre organisme[1].

En ce sens, votre conformité est incontestablement un gage d’efficacité et de compétitivité. Nul doute que vous en aurez pour votre argent !

Elle constitue aussi un atout commercial, dès lors qu’elle favorise la confiance de vos interlocuteurs dans votre capacité à assurer la sécurité des informations personnelles qu’ils vous confient.

D’autant que ce critère figure désormais parmi ceux exigés par les collectivités publiques dans le cadre de leurs appels d’offre. La conclusion de tels contrats dépend donc entre autres de votre conformité.

② Les pertes évitées grâce à votre conformité

Loin d’épargner votre trésorerie, les manquements à la législation en vigueur en la matière peuvent, à l’inverse, compromettre gravement la situation financière de votre organisme…

Intérêt n°1 : Prévenir les risques de piratage et autres attaques informatiques, qui pourraient vous dépouiller d’informations précieuses

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions dans des systèmes d’information a augmenté de 37% entre 2020 et 2021, et équivaut à 3 cyberattaques par jour.

Les TPE (“Très Petites Entreprises”), PME (“Petites et Moyennes Entreprises”) et ETI (“Entreprises de Taille Intermédiaire”) représenteraient 34% des victimes de cette cybercriminalité en 2021[2 ]

La législation en vigueur sur la protection des données se révèle être une opportunité de sécuriser la valeur de votre patrimoine informationnel (liste de clients, stratégies économique et commerciale de la structure, études de marché, etc.). Elle vous invite indirectement à prendre les précautions qui s’imposent pour éviter que ces éléments ne soient exploités à votre détriment par des tiers malveillants.

Intérêt n°2 : Se prémunir des risques de condamnations administratives et pénales, et d’une certaine banqueroute

Parmi ses multiples missions, la Commission Nationale de l’Informatique et des Libertés[3] (CNIL) veille notamment au respect des règles applicables en matière de protection des données. Elle a le pouvoir de sanctionner les violations qu’elle constate, notamment en prononçant des amendes administratives.

Le montant de ces amendes peut s’avérer particulièrement salé, puisqu’il est susceptible de s’élever – selon les manquements relevés – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant retenu.

Lorsque ces violations constituent une infraction, les entités non-conforment encourent également des poursuites pénales. Ces dernières peuvent aboutir au prononcé d’une peine d’emprisonnement de 5 ans et d’une amende allant jusqu’à 300.000 euros pour les personnes physiques, et à 1,5 millions d’euros pour les personnes morales[4].[5]

La CNIL ne cesse de mener une politique répressive de plus en plus rigoureuse. Elle a déclaré avoir procédé en 2021 à 384 contrôles. Le montant cumulé des amendes prononcées cette même année a atteint plus de 214 millions d’euros⁵.

Votre conformité peut donc vous épargner de faire valser des millions dans le vide…

Intérêt n°3 : Empêcher la dévalorisation de votre image de marque et votre discrédit

Les échos de la non-conformité d’un organisme sont susceptibles de porter considérablement atteinte à sa réputation. Ils peuvent amenuir son attractivité aux yeux de ses partenaires commerciaux, de ses fournisseurs, et surtout de ses clients.

Les exigences de ces derniers concernant les mesures prises pour assurer la protection de leurs données personnelles se sont accrues au cours des dernières années. En cas de lacunes de votre structure sur ce point, vos clients risquent ainsi de vous tourner le dos au bénéfice de concurrents plus vigilants…

Votre non-conformité peut également diminuer considérablement la valorisation de votre société lors de sa cession ou de sa fusion avec une autre entité. Vous savez ce qu’il vous reste à faire pour rouler sur l’or !

***

Mettre à mal votre conformité par soucis d’économie vous expose donc paradoxalement à de lourds risques financiers. Comme le résume l’adage, l’on ne peut pas avoir le beurre et l’argent du beurre !

Votre conformité vaut donc son pesant d’or !

Refuser d’engager des dépenses pour assurer la protection des données personnelles que votre organisme manipule pourrait se retourner contre vous. Ne tuez pas la poule aux œufs d’or !

L.H

[1] Pour plus d’informations concernant les bénéfices que votre organisme peut tirer de sa conformité, nous vous invitons à consulter notre précédent article sur le sujet à l’adresse suivante : https://www.rgpd-experts.com/rgpd-cest-pas-la-mer-a-boire/.

[1] Communiqué de presse de l’ANSSI du 09/03/2022, « Une année 2021 marquée par la professionnalisation des acteurs malveillants », https://www.ssi.gouv.fr/uploads/2022/03/cp_anssi_panorama_09032022.pdf.

[3] La CNIL est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] Conformément aux articles 226-16 et suivants, et 131-38 du Code pénal.

[5] Extrait de la conférence de presse de la Commission du 11 mai 2022 relative à la « présentation du rapport d’activité 2021 et des enjeux 2022 de la CNIL », https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2021_et_enjeux_2022_vf.pdf.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Sanction Total Énergies

dans Actualités, News, Thématiques

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

Après deux ans d’enquête, la CNIL [1] a condamné la société TOTAL ÉNERGIES ÉLECTRICITÉ ET GAZ France au paiement d’une amende d’un million d’euros. Sa décision du 23 juin 2022 sanctionne deux principaux manquements du fournisseur d’énergie à la législation en vigueur en matière de protection des données à caractère personnel[2].

RGPD-Experts vous tient au courant des règles pourtant fondamentales mises en cause dans cette affaire.

① Violation des règles relatives à la prospection

Saisie de 27 plaintes de particuliers, la Commission a pris la température de la conformité de TOTAL ÉNERGIES.

Elle a tout d’abord constaté les pratiques inadaptées de la société dans le cadre de ses campagnes de relance de prospects.

TOTAL ÉNERGIES a effectivement recontacté de nombreux clients potentiels par courrier ou par téléphone grâce aux informations personnelles que ceux-ci lui avaient fournies en ligne pour obtenir des devis, ce sans avoir préalablement recueilli leur consentement à recevoir des offres commerciales comme l’exige l’article L. 34-5 du Code des postes et des communications électroniques[3].

Or, ces prospects avaient accepté de renseigner leurs coordonnées sur le site Internet de l’entreprise pour une finalité précise, à savoir la souscription d’un possible contrat. Le fait d’utiliser ces informations pour leur vanter par la suite les avantages ou promotions proposées par TOTAL ENERGIES constitue une seconde finalité à l’exploitation de leurs données, pour laquelle ces internautes n’avaient pas donné leur accord.

Le formulaire de collecte de données en question mentionnait uniquement que :

« En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Énergie pour vous présenter ultérieurement ses offres »

L’usage de phrases génériques de ce type est à proscrire. Dans ces conditions, les intéressés n’étaient en effet pas en mesure de donner expressément leur consentement à ce que leurs coordonnées soient utilisées à des fins de prospection, alors même que les textes imposent que leur accord résulte d’un acte positif clair.

La CNIL a également conclu à un manque d’information ou une information incomplète des prospects démarchés par téléphone.

Lors de ces appels, les collaborateurs de TOTAL ÉNERGIES ne les renseignaient pas sur les principales caractéristiques du traitement de leurs données personnelles ainsi que sur leurs droits en la matière, en violation des articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD).

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

– Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

– Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

– Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

– Instaurer un mécanisme permettant aux personnes concernées d’obtenir l’ensemble des informations requises par les articles 13 et 14 du RGPD. Vous pouvez par exemple les inviter à appuyer sur une touche de leur clavier de téléphone les renvoyant vers une personne compétente ou activant la lecture d’un message préenregistré.

② Violation des règles relatives au respect des droits des personnes concernées

Les dispositions issues du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée reconnaissent divers droits aux personnes concernées par le traitement de leurs données, afin qu’elles puissent en conserver la maitrise.

Comment briller sur ce point ?

L’étendue de ces prérogatives dépend de la nature du traitement de données en question. Elles se traduisent notamment, et selon les cas, dans le droit :

D’accéder à ses données et/ou d’en obtenir une copie ;
De les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
De les effacer ;
De limiter le traitement de ses données ;
Du droit à la portabilité de ses données ;
De s’opposer au traitement de ses données personnelles ;
De formuler des directives sur le sort de ses données après son décès auprès d’un tiers de confiance ;
De retirer à tout moment son consentement au traitement de ses données, si telle est la base légale du traitement ;
D’introduire une réclamation auprès de la CNIL.

Or, il y a justement eu de l’eau dans le gaz sur le sujet entre le fournisseur d’énergie et le gendarme français de la protection des données personnelles… La CNIL a en effet mis en évidence les lacunes de TOTAL ÉNERGIES dans la gestion des demandes d’exercice de droit formulées par ses clients et prospects.

L’autorité régulatrice révèle que la société n’a pas respecté les modalités de réponse imposées par les textes, voire s’est parfois purement abstenue de traiter ces requêtes, en particulier des demandes d’accès de clients à leurs données et leur opposition à être inscrits sur ses listes de prospection commerciale.

Lorsqu’un individu porte à la connaissance du responsable de traitement sa volonté d’exercer l’un de ses droits, ce dernier est tenu de lui indiquer les suites données à sa requête « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (article 12 RGPD)[4].

Ce délai de réponse peut être prolongé de deux mois, notamment en raison de la complexité ou du nombre de demandes adressées au responsable de traitement, et à condition d’informer le demandeur de ce report et de ses motifs.

Les investigations de l’autorité régulatrice ont ici permis de constater de multiples retards dans les réponses données aux clients et prospects ayant demandé à TOTAL ÉNERGIES d’exercer leurs droits.

La CNIL souligne le fait que la société ne pouvait pas se retrancher derrière le manque de coopération de ses partenaires commerciaux lui vendant les coordonnées de prospects pour justifier ces retards.

En effet, il lui appartient en tant que responsable de traitement de s’organiser pour pouvoir répondre aux demandes d’exercice de droit d’accès aux données dans les délais requis par la loi. Elle précise en outre que TOTAL ÉNERGIES pouvait aussi communiquer aux demandeurs les informations dont elle disposait les concernant au fur et à mesure que celles-ci lui étaient transmises, plutôt que de se taire mécaniquement.

TOTAL ÉNERGIES a également essayé de se défendre en argumentant que certains plaignants n’avaient pas contacté les services spécifiquement en charge de ces questions. La CNIL a estimé que cette circonstance n’exonérait pas la société de sa responsabilité, dès lors qu’elle avait pour obligation de répondre à toutes les requêtes qui lui sont envoyées, même par un autre canal que celui prévu à cet effet.

En l’occurrence, l’objet de ces demandes était clair. Il revenait donc à TOTAL ÉNERGIES de veiller en interne à ce qu’elles soient transférées au personnel compétent.

TOTAL ÉNERGIES a aussi pu juger à tort qu’il n’était pas utile de dépenser de l’énergie pour prévenir certains demandeurs de la régularisation de leur situation. Ces derniers sont alors restés illégitimement dans le noir en ce qui concerne les suites apportées à leurs sollicitations…

Pas besoin d’être une lumière pour comprendre l’importance de rédiger des procédures pour gérer efficacement le traitement des demandes d’exercice de droits des personnes concernées.

Des protocoles de vérification de la recevabilité de ces requêtes à la rédaction de réponses types, en passant par une analyse approfondie de l’applicabilité de ces droits à vos opérations de traitement, RGPD-Experts met à votre disposition son expertise pour vous éviter d’être confrontés à des situations électriques…

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] L’intégralité de la délibération de la CNIL est disponible à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045975295?init=true&page=1&query=San-2022-011&searchField=ALL&tab_selection=all

[3] Pour davantage d’informations concernant la gestion des données personnelles lors de vos campagnes de prospection, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[4] Cette règle vaut aussi en cas d’inaction du responsable de traitement, l’organisme devant alors justifier des raisons de son refus ainsi que de la possibilité pour le demandeur de saisir une autorité de contrôle de sa réclamation et de contester cette décision en justice.

L.H

EHDS

dans Actualités, Thématiques

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

L’envolée des législations européennes relatives à la « protection » des données personnelles se poursuit.

Dans le prolongement des accords provisoires pour l’encadrement des services et des marchés numériques, la Commission Européenne a publié le 03 mai 2022 sa proposition de règlement pour un Espace Européen des Données de Santé, plus connu sous le nom de “European Health Data Space” (EHDS).

En quoi consiste ce nouveau projet ? RGPD-Experts vous explique les enjeux de ce texte.

De quoi parlons-nous ?

Soulignant l’importance des services numériques dans la gestion de la pandémie de Covid-19, les États membres de l’Union Européenne (UE) se sont emparés de ce contexte pourtant exceptionnel pour insister sur la nécessité d’harmoniser leurs règles nationales sur l’accès et l’utilisation des données de santé.

L’Espace Européen des Données de Santé vise globalement à instaurer un marché unique de données de santé à l’échelle européenne.

Les finalités affichées de cette réforme sont doubles :

① Faciliter l’utilisation primaire des données de santé des citoyens européens :

La proposition de règlement prévoit que les documents médicaux devront être émis sous une forme standardisée, afin de permettre leur partage dans et entre tous les États membres.

Selon la Commission, l’EHDS constitue en ce sens un avantage à la fois pour les patients et les professionnels de santé, en leur garantissant un accès et une maitrise de ces informations sensibles par-delà les frontières. D’après l’institution, cette interopérabilité sera gage d’une meilleure continuité des soins et d’une prise en charge optimale des malades.

Elle vise notamment à renverser les barrières linguistiques susceptibles d’entraver l’accès aux soins des patients ou la compréhension de leur dossier médical par les professionnels de santé. Chacun d’eux pourra désormais consulter les documents médicaux dans sa langue maternelle.

Exemple : un individu pourra ainsi aisément faire renouveler en Italie son ordonnance de médicaments délivrée en France, et se procurer son traitement en Allemagne.

Les données de santé des citoyens seront consignées au sein d’un programme que les États membres sont tenus d’intégrer d’ici 2025, intitulé « MyHealth@EU ».

Si la France a déjà partiellement déployé cette solution via le service « Sesali.fr »[1], d’autres États sont encore loin de cette révolution digitale. En effet, près d’un tiers des pays de l’UE recourent encore majoritairement à des dossiers médicaux et à des prescriptions papiers[2]…

② Faciliter l’utilisation secondaire des données de santé des citoyens européens :

La proposition de règlement établit également un cadre commun pour l’usage des données de santé à des fins de recherche, d’innovation, de statistiques ou d’élaboration de politiques de santé publique.

L’idée est simple : faire bénéficier les chercheurs, les entreprises du secteur de la santé et les décideurs d’une quantité importante de données pour augmenter la fiabilité de leurs projets respectifs.

L’ensemble de ces informations – censées avoir été préalablement anonymisées – seront rassemblées au sein d’une nouvelle infrastructure transfrontière développée à cet effet par l’Union Européenne, dénommée « HealthData@EU ».

Afin de contrôler l’exploitation de ces données mutualisées, chaque Etat membre devra mettre en place un organisme chargé de délivrer les autorisations d’accès aux entités et particuliers en faisant la demande.

La France s’est montrée particulière proactive face à cette réforme, puisqu’elle a créé une telle instance dès 2019. Ce Groupement d’Intérêt Public, composé de 56 parties prenantes relevant du domaine de la santé[3], porte le nom de « Health Data Hub » ou « Plateforme des données de santé »[4].

Les objectifs de l’Espace Européen des Données de Santé selon la Commission Européenne
Source : https://ec.europa.eu/commission/presscorner/detail/fr/fs_22_2713

Et en réalité ?

Si l’Union Européenne se targue d’instaurer ces nouveaux dispositifs en vue d’améliorer les diagnostics médicaux et les systèmes de santé, les enjeux de ce texte s’avèrent aussi et surtout économiques.

L’Espace Européen des Données de Santé entend inciter à l’innovation, en permettant aux entreprises du secteur de la santé de disposer d’un large échantillon de données de santé. Il a ainsi pour objectif de soutenir la croissance, en leur ouvrant de nouveaux marchés dans d’autres États membres.

La Commission ne cache également pas sa volonté de réduire le coût de ses politiques de santé publique.

Selon elle, l’EHDS devrait faire économiser à l’UE près de 11 milliards d’euros, tant grâce à l’optimisation attendue des activités des prestataires de soins (l’échange de données de santé entre professionnels devant éviter la répétition des examens médicaux et renforcer la fiabilité des diagnostics/traitements) que grâce à la documentation accrue des régulateurs (qui, disposant de données davantage probantes, sont supposés être plus à même d’ajuster leur gestion du système de santé et de stopper les dépenses inutiles).

Cet argument est paradoxal lorsque l’on sait que les États membres ont prévu d’investir 12 milliards d’euros dans la santé numérique… L’UE ne poursuivrait-elle pas des rêves chimériques ?

Des mesures si compréhensibles ?

Des questions perdurent quant aux modalités concrètes de mise en œuvre de l’Espace Européen des Données de Santé.

Les dispositions du règlement proposé par la Commission ne prévoient pas leur articulation avec les règles nationales des États membres en la matière, voire entrent ouvertement en contradiction avec elles.

Nous nous interrogeons sur la combinaison entre l’infrastructure européenne sur le partage de données de santé « MyHealth@EU », et le récent Dossier Médical Partagé instauré par le gouvernement français[5].

Par ailleurs, il n’est dit aucun mot sur les caractéristiques du format européen commun dans lequel devront être édictés les documents de santé afin d’être interopérables.

Enfin, les promesses de sécurité concernant l’exploitation des données de santé des citoyens européens sont particulièrement floues. Les formulations vagues employées par la Commission ne permettent pas de déterminer comment cette protection sera concrètement assurée…

Il est ainsi indiqué que ces données sensibles ne seront accessibles à des fins de recherche et d’innovation que pour des « finalités particulières » et non pour prendre des décisions préjudiciables aux citoyens, sous réserve d’être manipulées dans « des environnements fermés et sécurisés » et à condition que les identités des individus visés ne soient pas révélées.

Ces termes ne sont évidemment pas définis, de sorte qu’il est impossible de savoir comment l’anonymat des personnes concernées sera réalisé, ou à quels critères devront répondre les organismes souhaitant accéder à ces données pour justifier qu’ils disposent d’un environnement suffisamment “fermé et sécurisé“.

En d’autres termes, l’Espace Européen des Données de Santé pourrait compromettre la conformité des différents acteurs de cette santé numérique, qui restent tenus de respecter les exigences leur incombant aux termes du Règlement Général sur la Protection des Données (RGPD) [6].

Les organismes pourront-ils en pratique respecter et le RGPD, et la législation sur l’Espace Européen des Données de Santé ? Seul l’avenir nous le dira…

Avant d’entrer en vigueur, le projet de règlement de la Commission Européenne devra d’abord être examiné par le Conseil et le Parlement Européen.

S’il est adopté, ce texte modifiera légèrement l’organisation des institutions européennes, puisqu’il prévoit une nouvelle gouvernance spécifique à la santé numérique. La création d’un « Comité de l’Espace Européen des Données de Santé » est envisagé. Composé des représentants des nouvelles autorités chargées de délivrer les autorisations d’accès aux bases de données de santé des Etats membres, de la Commission Européenne et d’observateurs divers, ce comité a pour ambition de veiller à une application cohérente des règles en matière de santé numérique sur le territoire de l’UE.

Un rôle non négligeable compte tenu des risques que cette réforme soit comprise différemment par tous, faisant des citoyens européens les grands perdants de ce probable quiproquo…

L.H

[1] Bien que déjà accessible, ce nouveau service de santé proposé par l’Agence du Numérique en Santé (ANS) n’est à ce jour pas encore finalisé. Seuls les citoyens de certains pays membres de l’UE y sont pour l’instant éligibles (Croatie, Malte, Portugal…).

[2] Source : « Questions et réponses – Santé dans l’UE : l’espace européen des données de santé », 03 mai 2022, eu.europa.eu (https://ec.europa.eu/commission/presscorner/detail/fr/qanda_22_2712)

[3] Dont la caisse nationale de l’assurance maladie (CNAM), la fédération française de l’assurance (FFA), l’institut national de la santé et de la recherche médicale (INSERM), l’institut national de la recherche en informatique et en automatique (INRIA), le centre national de la recherche scientifique (CNRS), la fédération hospitalière de France (FHF), l’assistance publique hôpitaux de Paris (AP-HP), etc.

Les modalités de fonctionnement de la plateforme sont régies par les articles L1462-1 et R1462 et suivants du Code de la santé publique.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est l’autorité administrative indépendante française compétente en matière de protection des données personnelles, a toutefois émis de nombreuses réserves concernant les modalités de mise en œuvre de cette « Plateforme des Données de Santé » et sur les risques qu’elle présente en l’état actuel pour les libertés individuelles.

[5] Pour plus d’informations concernant les enjeux de ce « Dossier Médical Partagé » en matière de protection des données personnelles, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/donnees-medicales/

[6] En effet, les mesures prévues au sein de la proposition de règlement de la Commission ne dérogent pas au RGPD.

Des mairies à la traine…

dans Actualités, News, Thématiques

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.

En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.

Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

① Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des “analyses d’impact relatives à la vie privée“ et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

De 2 ans d’expérience dans le domaine de la protection des données
Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

③ Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO

Le Délégué à la Protection des Données peut-être :

Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.

Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).

	AVANTAGES PRINCIPAUX	AVANTAGES PRINCIPAUX
DPO Interne	– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO	– Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe	– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité.	– Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé	– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes.	– Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

site internet et conformité

dans Actualités, Thématiques

– Conformité de votre site Internet : quels sont les points de vigilance ? –

Entre les informations collectées à travers des cookies et les renseignements recueillis auprès des internautes par un formulaire de contact, via leur compte individuel ou encore leur inscription à des newsletters, la gestion d’un site Internet entraine le traitement de nombreuses données personnelles.

Les organismes et les particuliers mettant en œuvre ces interfaces sont dès lors soumis aux exigences du Règlement Général sur la Protection des Données (RGPD).

RGPD-Experts vous livre ses conseils pour mener à bien vos projets en ligne !

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Conformément au principe de minimisation des données, vous n’êtes tenu de recueillir que les données pertinentes strictement nécessaires pour atteindre l’objectif poursuivi par leur collecte.

Concrètement, vous ne pouvez pas demander à vos interlocuteurs des renseignements personnels dont vous n’avez pas besoin dans l’immédiat.

Exemple : il n’est pas indispensable de connaître l’identité et les coordonnées complètes de l’internaute souhaitant s’abonner à votre newsletter. Seule son adresse e-mail est requise pour lui fournir ce service. En revanche, vous aurez besoin de ces éléments s’il commande un produit sur votre site Internet, afin de lui livrer le bien.

Nous vous conseillons de distinguer les informations obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Cette solution laisse le choix à l’utilisateur de vous fournir ou non davantage d’informations le concernant.

Nous vous recommandons également de limiter au maximum les zones de libres commentaires, c’est-à-dire les champs vides dans lesquels l’internaute peut consigner librement ce qu’il souhaite.

Non seulement ce dernier pourrait vous fournir plus de données que ce dont vous auriez besoin, mais il pourrait également vous communiquer spontanément des informations sensibles à son sujet. Or, le traitement de données sensibles est strictement encadré par le RGPD. Epargnez-vous ces complications tant que vous le pouvez !

Dotez-vous d’une politique de protection des données accessible et compréhensible

Pourquoi ? – Le RGPD impose d’informer les personnes concernées des principales caractéristiques du traitement fait de leurs données personnelles lors de leur utilisation de votre site Internet, ainsi que de leurs droits pour en conserver la maîtrise.

Afin de répondre à cette obligation légale, il est essentiel de définir une politique de protection des données.

Quoi ? – Ce document, distinct des conditions générales de vente (CGV) ou des conditions d’utilisation du site (CGU), doit faire état de diverses mentions obligatoires expressément prévues par le RGPD.

Il doit a minima comporter les indications suivantes :

L’identité et les coordonnées du responsable du traitement de données ;
L’identité et les coordonnées du Délégué à la protection des données, s’il l’en a été désigné un – ou de la personne référente en matière de protection des données personnelles ;
Les finalités de chaque traitement de données lié à l’usage du site (le but de la collecte des données);
La base légale de chaque traitement de données (le fondement juridique vous donnant droit de traiter les données);
Le caractère obligatoire ou facultatif du recueil des données ;
Les destinataires ou catégories de destinataires des données (ceux qui pourront être amenés à y accéder ou à les recevoir, y compris les sous-traitants) ;
La durée de conservation des données, ou les critères permettant de déterminer cette durée ;
Les droits des personnes concernées (leurs droits d’accès, de rectification, d’effacement, à la limitation du traitement, ainsi que leurs droits d’opposition et à la portabilité des données s’ils sont applicables);
Le droit d’introduire une réclamation auprès de la CNIL[1].

Selon les opérations de traitement que vous mettez en œuvre, d’autres renseignements devront aussi éventuellement figurer, et notamment :

La nature des intérêts légitimes que vous poursuivez ou le droit pour l’utilisateur de refuser de donner son consentement ou de le retirer à tout moment, si telles sont les bases légales de votre traitement de données ;
L’existence d’un transfert des données en dehors de l’Union européenne et les garanties associées pour assurer un niveau de protection suffisant des données transmises à l’étranger ;
L’existence d’une prise de décision automatisée ou d’un profilage ainsi que ses conséquences pour la personne concernée et la logique sous-jacente de l’algorithme utilisé ;

ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].

Afin de répondre à ces exigences, il est donc impératif que votre politique de protection des données soit adaptée à votre propre situation et aux opérations de traitement que vous mettez en œuvre.

La CNIL exige que celle-ci reflète la réalité de vos activités, et ne soit pas rédigée de manière abstraite. Les phrases génériques de type « notre organisme est susceptible d’utiliser des données vous concernant pour mener à bien ses missions » sont à bannir.

Comment ? – Selon l’article 12 du Règlement européen, cette information doit être « concise, transparente, compréhensible et aisément accessible ».

Cela implique notamment qu’elle soit formulée en des termes simples, adaptés au public visé.

Pour rappel, l’Autorité de Contrôle néerlandaise avait condamné en 2021 la société « TikTok » au paiement d’une amende de 750.000 euros pour ne pas avoir mis à disposition des adolescents inscrits sur l’application une information adaptée à leur âge et dans leur langue maternelle.

Les personnes concernées doivent aussi pouvoir consulter facilement votre politique de protection des données. A ce sujet, la CNIL préconise de recourir à une notice d’information accessible :

En plusieurs niveaux : c’est-à-dire de fournir rapidement les informations globales sur le traitement de données avant de renvoyer vers une description plus précise de ses conditions de mise en œuvre.
Sur différents canaux : liens, menus dépliants, « pop-up », icônes et vidéos d’explications, etc.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] En cas de collecte indirecte de données, votre politique de confidentialité devra également faire apparaître les catégories de données obtenues ainsi que leur source.

De même, si l’ensemble de ces informations doit être délivré aux personnes concernées au moment du recueil de leurs données en cas de collecte directe, elles doivent en principe leur être fournies « dès que possible » en cas de collecte indirecte – c’est-à-dire au 1^er contact avec la personne concernée ou au plus tard dans un délai d’un mois.

Contrôlez le recueil du consentement des personnes concernées

Si certains traitements de données ont pour base légale le consentement, il vous appartient :

► D’organiser le recueil du consentement des personnes concernées [3]

Ce fondement juridique suppose que leur autorisation à la collecte et l’exploitation de leurs données personnelles résulte d’une déclaration ou d’un acte positif clairs.

Exemples :

▪ Sont considérées comme satisfaisantes les pratiques suivantes : le fait de cocher une case lors de la consultation d’un site, d’opter pour certains paramètres techniques d’application, de remplir un formulaire d’autorisation…

▪ Sont exclues les modalités de recueil du consentement suivantes : les cases pré-cochées par défaut, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), les consentements tirés de l’inaction de l’individu (l’absence de réponse à un courriel sollicitant le consentement)…

Afin d’être valable, le consentement doit répondre à quatre conditions cumulatives essentielles. Il doit être :

● Libre – La personne concernée ne doit pas avoir été contrainte ni influencée de donner son consentement. Elle doit pouvoir refuser le traitement de ses données personnelles sans avoir à subir de répercussions négatives de ce refus.

● Spécifique – Lorsque le traitement poursuit divers objectifs, un consentement distinct doit pouvoir être donné pour chacun de ces buts spécifiques.

● Éclairé – La personne concernée doit avoir parfaitement conscience de la portée de son accord.

● Univoque – Le consentement doit être exprimé sans ambiguïté.

Il vous appartient de justifier auprès des autorités de contrôle que vous avez bien obtenu le consentement licite des internautes dont vous manipulez les données.

Il est donc absolument indispensable que vous vous dotiez de moyens techniques permettant d’attribuer le consentement donné à son véritable auteur, ainsi que de dater précisément le moment du recueil voire du retrait du consentement – en prévention d’éventuelles contestations à ce sujet.

► D’organiser la modification et l’éventuel retrait de leur consentement

Vous êtes tenu de prendre toutes les mesures nécessaires pour permettre aux personnes concernées de retirer simplement et à tout moment le consentement initialement donné [4].

Exemple : Paramétrages d’application, lien de désabonnement au sein des newsletters ou mails publicitaires…

Vous devrez évidemment tirer toutes les conséquences de ce retrait, à savoir notamment :

· Cesser immédiatement le traitement des données personnelles de l’auteur de cette rétractation ;

· Effacer les données traitées, sur demande de la personne concernée et si aucune autre finalité ne justifie leur conservation (article 17(1)(b) RGPD).

► De documenter votre gestion efficace des consentements, conformément au principe “d’accountability”[5]

[3] ATTENTION – Le recueil du consentement des mineurs est soumis à des règles particulières, non détaillées au sein de cet article.

[4] Étant observé que cette rétractation n’aura pas pour effet de compromettre la licéité des traitements fondés sur le consentement mis en œuvre avant ce retrait.

[5] Le principe « d’accountability » est un principe de responsabilité sous-tendant que vous vous conformiez aux exigences en matière de protection des données d’une part, et que vous soyez en capacité de démontrer cette conformité en toutes occasions d’autre part.

Veillez à la bonne gestion de vos cookies et autres traceurs

Les cookies sont des fichiers informatiques émis par une page Internet, et transmis jusqu’au téléphone ou l’ordinateur de l’utilisateur. Ils sont ensuite stockés sur les serveurs de cet équipement terminal, et y collectent de nombreuses données personnelles.

Certains cookies techniques sont dits « obligatoires », en ce qu’ils sont indispensables au bon fonctionnement et à la sécurité du site Web.

D’autres, « non nécessaires », permettent d’optimiser les fonctionnalités du site et d’en adapter le contenu pour améliorer l’expérience de chaque usager (ciblage publicitaire, études statistiques sur les habitudes d’utilisation des internautes…) [6].

Dans le cadre de votre conformité, nous vous recommandons à ce sujet :

D’informer les personnes concernées des principales caractéristiques des traitements de données issues de ces traceurs.

Nous vous invitons à rédiger une politique de confidentialité spécifique à votre gestion des cookies, distincte de votre politique générale de protection des données.

De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [7].

De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

Appréhendez correctement votre prospection commerciale

Selon la nature de votre client potentiel et le moyen de communication employé pour le contacter, la base légale du consentement peut vous être imposée pour ce traitement de données … avec toutes les conséquences que cela génère pour votre conformité [8] !

ATTENTION – En réaction aux réclamations relatives aux publicités non sollicitées subies quotidiennement par de nombreux particuliers, la CNIL a érigé la prospection commerciale comme l’un de ses thèmes prioritaires de contrôle pour l’année 2022. Ces pratiques feront l’objet d’une surveillance accrue.

Assurez-vous de respecter les règles propres au paiement en ligne

Si votre site Internet permet à vos clients de commander des biens ou des services en ligne, il vous appartient de prendre toutes les précautions nécessaires pour leur offrir un moyen de paiement dématérialisé conforme aux exigences du RGPD.

En cas de paiement ponctuel [9], nous vous invitons notamment à vérifier :

Que seules les données strictement autorisées sont collectées, à savoir le numéro, la date d’expiration et le cryptogramme visuel de la carte bancaire ;
Que, sauf consentement du client, ces données ne sont pas conservées une fois la transaction finalisée ;
Que des mesures de sécurité supplémentaires ont été instaurées pour éviter la compromission de ces données personnelles (mécanisme d’authentification renforcé, camouflage de tout ou partie de numéro de la carte lors de son affichage, etc.).

RGPD-Experts met à votre disposition ses outils et les compétences de professionnels reconnus pour vous permettre de rédiger en toute simplicité les mentions légales de votre site, de formuler votre politique de protection des données ou simplement de vous guider dans la conformité de votre page Web.Nous vous invitons à vous rapprocher de nos services pour bénéficier d’un accompagnement fiable et complet dans la mise en œuvre de vos projets en ligne..

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[7] Source : https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

[8] Ce en application de l’article L.34-5 du Code des postes et des communications électroniques. Si cette problématique vous intéresse, vous pouvez en apprendre davantage à travers notre publication : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[9] Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.

L.H

Les dessous d’un acronyme bien trop méconnu

dans Actualités, News, Thématiques

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

Tenir à jour un registre de ses activités de traitement, respecter les droits des personnes concernées ou encadrer ses relations de sous-traitance : à coups d’articles de sensibilisation, ces grands principes édictés par le Règlement Général sur la Protection des Données (RGPD) commencent à être pleinement intégrés par les organismes traitant des données personnelles.

D’autres impératifs issus de ce texte n’ont malheureusement pas bénéficié de la même publicité.

Tel est notamment le cas de l’Analyse d’Impact relative à la Protection des Données ou « AIPD ». Grande oubliée des campagnes de communication, cette notion n’en demeure pas moins une obligation légale pour les responsables de traitement, et mérite à ce titre d’être elle aussi mise en lumière.

Qu’est-ce que cette mesure préventive ?

L’AIPD [1] est un processus consistant à décrire le traitement de données envisagé, avant son instauration, pour évaluer ses risques pour les personnes concernées et réfléchir sur ses conditions de mise en œuvre.

L’analyse d’impact est donc un outil précieux de responsabilisation. Elle aide le responsable de traitement à identifier en amont les possibles lacunes des opérations de traitement projetées, et lui permet ainsi d’adopter les mesures rectificatives requises pour agir en toute conformité.

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Tout traitement de données personnelles ne doit pas faire l’objet d’une AIPD. En application de l’article 35 du RGPD, seuls sont concernés ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Toute la question est donc de savoir ce que recouvre cette expression de « risque élevé pour les droits et libertés » ?

Ce risque s’entend généralement d’un événement redouté qui, s’il survenait, aurait des conséquences particulièrement néfastes pour les individus dont les données personnelles sont exploitées. Le type de dommage pouvant être subi par les éventuelles victimes est indifférent pour caractériser ce danger [2]

La nature du dommage craint est elle aussi indifférente. Il peut s’agir d’un préjudice d’ordre moral, physique, financier ou matériel.

L’équation est la suivante :

Niveau de risque = vraisemblance du risque X gravité du risque

Autrement dit, il est possible de baisser le niveau de risque en diminuant soit la probabilité qu’il advienne, soit l’ampleur des préjudices encourus par les personnes concernées s’il devait se manifester.

Mais encore ?…

Pas toujours évidemment de savoir si un traitement de données répond à cette définition. Afin de conclure s’il y a lieu ou non de mener une AIPD, nous vous conseillons de suivre le raisonnement suivant :

ÉTAPE 1 :

Vérifier si votre traitement figure expressément parmi ceux pour lesquels la CNIL [3] estime qu’une AIPD est requise ou, au contraire, exclue. Afin d’accompagner les professionnels dans leurs démarches, l’autorité de contrôle a en effet publié :

Une liste non exhaustive d’activités pour lesquelles elle jauge qu’une AIPD est nécessairement requise.

La liste complète de ces activités est disponible à l’adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Dans ce cas, nous vous recommandons de vous conformer à la doctrine de l’autorité régulatrice et de réaliser une analyse d’impact.

Une liste non exhaustive d’activités qu’elle considère comme étant exemptées d’AIPD.

L’énumération complète de ces activités est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf

Dans ce cas, il existera une forte présomption que vous n’ayez pas à mener une telle AIPD.

Toutefois, la présence de votre opération projetée sur cette liste ne doit pas vous empêcher de vous poser les questions prévues à l’étape 2.

Par exception, aucune analyse de risque n’est exigée lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

1° Ce traitement soit prévu par la législation européenne ou nationale ;

2° Que les textes constituant sa base juridique réglementent l’opération de traitement en question ;

3° Qu’une AIPD ait déjà été menée lors de l’adoption de ce fondement juridique.

ÉTAPE 2 : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

Ce processus a vocation à déterminer si le traitement est de nature à porter atteinte aux droits et libertés des personnes, en particulier « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (art. 35 RGPD).

Selon les lignes directrices du Comité Européen de la Protection des Données[4], une AIPD doit être effectuée si le traitement remplit au moins deux des neufs critères suivants, à savoir qu’il implique :

Une évaluation ou notation, y compris les activités de profilage et de prédiction ;

(Exemple : les traitements analysant les préférences des consommateurs sur un site en ligne afin de cibler leurs publicités selon leur profil marketing)

Une prise de décision automatisée avec effet juridique ou effet similaire significatif ;

(Exemple : les traitements utilisés pour définir les conditions d’une police d’assurance, plus ou moins avantageuses en fonction des risques relevés dans la situation du souscripteur)

Une surveillance systématique ;

(Exemple : les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées ou une zone géographique donnée, tels que les réseaux de vidéosurveillance ou de vidéoprotection)

Une collecte de données sensibles ou données à caractère hautement personnel ;

(Exemple : données pénales, à caractère sexuel, données de santé / biométriques / génétiques, données syndicales ou politiques, données de religion, sur les origines, etc.)

Une collecte de données personnelles à large échelle ;

Le CEPD précise que cette notion s’apprécie non seulement au regard du nombre de personnes concernées, mais également du volume de données traitées, de l’étendue géographie et temporelle de l’activité de traitement, du caractère proportionné de l’échantillon d’individus ciblés, etc.

Un croisement de données ;

Tel est le cas si le traitement de données met en relation plusieurs informations personnelles collectées auprès d’un individu dans des contextes différents.

Des données personnelles d’individus vulnérables ;

( Exemple : personnes âgées, malades ou handicapées, mineurs, demandeurs d’asile, mais aussi les salariés dans leurs rapports avec leur employeur, compte tenu du déséquilibre des pouvoirs existant entre eux.)

Un usage innovant des données ou l’utilisation de nouvelles solutions technologiques ;

(Exemple : systèmes de reconnaissance faciale ou d’empreintes digitales, d’intelligence artificielle.)

L’exclusion du bénéfice d’un droit/contrat.

(Exemple : les traitements utilisés dans le cadre de l’attribution ou du refus d’octroi de crédit bancaire)

Selon le CEPD, cette règle n’a pas vocation à être interprétée strictement.

Vous pouvez ainsi décider de conduire une AIPD alors même qu’un seul des neufs critères serait rempli, si vous estimez que le traitement présente malgré tout un risque élevé pour les droits et libertés des personnes concernées. A l’inverse, vous pouvez également considérer que, bien que votre traitement satisfait au moins deux de ces critères, une AIPD ne serait pas requise.

ATTENTION – Le fait de réaliser une analyse de risque ainsi que la décision finale de mener ou non une AIPD à l’issue de cette analyse de risque sont laissés à la libre appréciation du responsable de traitement.

Charge à lui de justifier, en cas de contrôle, les arguments juridiques et de fait pris ayant conduit à sa décision.

Alors comment mener une AIPD si celle-ci s’impose ?

Les acteurs de l’AIPD

L’obligation de mener une AIPD incombe au seul responsable de traitement.

Toutefois, les textes précisent que celui-ci doit, à cette occasion, se faire entourer :

Du Délégué à la Protection des Données de l’organisme, s’il en a été désigné un. Ce dernier est investi d’une mission de conseil et sera tenu de superviser le déroulement de l’analyse.

De ses sous-traitants, qui ont le devoir de l’assister durant ce processus et de coopérer avec lui.

Il peut aussi, s’il le souhaite, demander leurs avis directement aux personnes concernées.

Nous vous recommandons également de consulter les membres impliqués de votre personnel, afin d’obtenir un retour terrain des modalités de mise en œuvre du traitement analysé (le fournisseur du produit ou logiciel utilisé, les collaborateurs appelés à manipuler les données, le responsable de la sécurité des systèmes d’information, les opérateurs techniques et de maintenance, etc.)

Le contenu de l’AIPD

L’AIPD doit impérativement faire figurer les mentions obligatoires suivantes (art. 35 RGPD) [5] :

Une description des principales caractéristiques du traitement envisagé: nature des opérations projetées, finalités du traitement, volume et catégories de données devant être traitées, volume et catégories des personnes ciblées, ainsi que toute information relative aux aspects techniques et opérationnels de mise en œuvre du traitement (matériel utilisé, cartographie des flux de données, mesures de protection instaurées, etc.),
Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à l’objectif poursuivi,
Une évaluation des risques pour les droits et libertés des personnes concernées: quelle est la probabilité que survienne une atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles traitées ? Quelles seraient les répercussions d’un tel incident pour les potentielles victimes ?
Les mesures envisagées pour faire face aux risques identifiés, et les garanties adoptées par le responsable de traitement pour assurer la sécurité des données manipulées et sa conformité.

L’AIPD est un processus itératif. Il conviendra de réévaluer le risque tout au long de la vie du traitement.

Les éléments relatifs aux AIPD menées par votre organisme figurent parmi la documentation justifiant de votre conformité. Il convient donc de conserver précieusement toutes les pièces dont vous disposez à ce sujet, à titre de preuve.

La possible consultation de l’autorité de contrôle

Le responsable de traitement doit consulter la CNIL lorsque les résultats de l’AIPD mettent en évidence que le niveau de risque pour les personnes concernées demeure élevé malgré les mesures préventives prises pour l’atténuer.

Or, dans ce contexte, la CNIL peut faire usage de ses pouvoirs de contrôle et de répression si elle estime que la mise en œuvre de ce traitement constituerait une violation du RGPD. Le choix de communiquer ou non son AIPD à l’autorité régulatrice pour avis n’est donc pas une question à prendre à la légère…

* * *

Trop souvent incomprise, cette obligation légale de mener une AIPD constitue pourtant un enjeu de taille pour les responsables de traitement.

Outre d’éventuelles sanctions pénales ou judiciaires, tout manquement aux règles relatives aux analyses d’impact est passible d’une amende administrative dont le montant peut s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant retenu (art. 83 du RGPD).

RGPD-Experts a mis en place une méthodologie fiable et efficace pour mener à bien ce processus fastidieux au sein de votre organisme. Notre modèle prend en considération les particularités de votre structure, afin d’aboutir à une analyse fiable et adaptée à votre propre situation.

Nous vous invitons à contacter nos services si vous souhaitez être accompagnés dans la conduite de vos AIPD, et ainsi éviter de devoir consulter la CNIL avant de mettre en œuvre vos traitements de données.

L.H

[1] Aussi appelée « Analyse d’impact sur la vie privée » ou « DPIA », de l’anglais « Data Privacy Impact Assessment ».

[2] Peu importe qu’il soit à craindre une violation de leur droit au respect de leur vie privée, à la protection de leurs données personnelles, ou de tout autre droit fondamental (interdiction des discriminations, libertés de conscience et d’expression, liberté syndicale…).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] A cet égard, nous vous invitons à lire l’annexe 2 des lignes directrices du Comité Européen de la Protection des Données précitées.

Dossier Médical Partagé

dans Actualités, Thématiques

Dossier médical partagé et protection des données personnelles :

C’EST GRAVE DOCTEUR ?

Après de nombreux échecs, le “Dossier médical partagé” se refait une santé !

Le 3 février dernier, le gouvernement inaugurait sa nouvelle plateforme “Mon Espace Santé” (MES).

Cet outil, accessible via Internet après authentification, vise à aider ses utilisateurs à gérer leurs données de santé et à construire leurs parcours de soins avec les professionnels de santé.

Plutôt que de laisser à chaque citoyen le choix de recourir ou non à ce service public en ligne, comme il l’avait fait pour sa première version, le gouvernement a cette fois opté pour une méthode beaucoup plus radicale.

Depuis le début de l’année 2022, l’Assurance maladie communique ainsi à tous ses affiliés leurs identifiants personnels pour activer ce nouveau dispositif. A défaut de connexion ou d’opposition de la personne concernée dans les six semaines suivant la réception de ce courrier/courriel d’information, un compte individuel lui est automatiquement créé sur cet “Espace Numérique de Santé” [1].

Quelles sont les fonctions projetées de « Mon Espace Santé » ?

Prenons la température des objectifs et paramètres de cette plateforme.

Toutes les fonctionnalités de cette interface ne sont pas encore disponibles, tels que l’agenda e-santé et le catalogue d’outils et de services, pourtant prévus par les textes. A terme, cette solution regroupera les configurations suivantes[2] :

Qui pourra accéder à « Mon Espace Santé » ?

Chaque utilisateur peut paramétrer son Espace Numérique de Santé afin de déterminer la liste des professionnels de santé autorisés à déposer des informations sur son compte, ou à en prendre connaissance. Les choix opérés par les assurés à cet égard sont, là encore, modifiables à tout instant.

Ces autorisations d’accès peuvent être temporaires ou définitives. Elles peuvent porter sur l’ensemble des données contenues dans l’application, ou être limitées à certains documents.

Quoi qu’il en soit, la communication des données renseignées sur cette plateforme ne peut en aucun cas être exigée par des tiers, en particulier lors de la conclusion d’un contrat – notamment d’assurance.

Et pour cause, en disposant de ces renseignements sensibles vous concernant, vos interlocuteurs seraient en mesure d’effectuer divers pronostics… et d’ajuster le montant de vos cotisations en fonction de vos risques de présenter, à plus ou moins long terme, des problèmes de santé. Des pratiques abjectes, mais qui ne sont malheureusement pas si anecdotiques !

Quid du « Dossier médical partagé » intégré dans l’ENS ?

Le “Dossier Médical Partagé” (DMP) constitue une sorte de carnet de santé digital. Il vise à « favoriser la prévention, la coordination, la qualité et la continuité des soins des personnes concernées »[3].

Il contient :

Les données versées par les praticiens autorisés à l’issue de leurs consultations: l’état des vaccinations du patient, ses synthèses médicales et paramédicales, comptes-rendus d’hospitalisation, résultats d’analyses biologiques ou d’examens d’imagerie médicale, les actes diagnostiques et thérapeutiques réalisés, etc.
Les données que le titulaire du compte a éventuellement lui-même ajoutées : ses allergies, ses antécédents familiaux, ses documents de santé émis avant l’ouverture de son Espace Numérique de Santé, ses volontés en matière de don d’organes ou ses directives anticipées, l’identité du proche à prévenir en cas d’urgence, etc.

Hormis le médecin traitant éventuellement désigné par le titulaire du compte – qui peut accéder à l’ensemble des données inscrites dans son Dossier Médical Partagé – les autres soignants devront impérativement avoir obtenu le consentement de leur patient pour s’y connecter[4].

Une dérogation est prévue en cas d’urgence. Si l’état du malade l’exige, tout professionnel de santé peut consulter son Dossier Médical Partagé sans son autorisation, à moins que celui-ci ait expressément indiqué s’y opposer dans ses informations personnelles.

Afin que les affiliés puissent s’assurer du respect de la confidentialité de leurs données personnelles de santé, la plateforme est équipée d’un outil de traçabilité des connexions. Lors de chaque intervention par un tiers sur son Espace Numérique de Santé, l’utilisateur reçoit ainsi en principe une notification reprenant la date, l’heure, l’action réalisée (dépôt de document, consultation, modification…) et l’identification de son auteur.

Un remède suffisant pour prévenir toutes dérives ? L’avenir nous le dira !

Quels sont mes droits en tant qu’utilisateur ?

Sur leur Espace Numérique de Santé comme sur leur Dossier Médical Partagé, les assurés peuvent naturellement exercer les droits qui leur sont reconnus par la législation en vigueur en matière de protection des données.

Étant les seuls gestionnaires de leurs comptes, ils peuvent à cet égard :

Extraire les données qui y figurent, en application de leur droit d’accès et de leur droit à la portabilité de leurs données ;
Les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
Effacer les renseignements qu’ils auraient eux-mêmes déposés[5] ;
Limiter le traitement de leurs données, en réduisant les droits d’accès des professionnels de santé ;
Clôturer à tout moment leur compte, en application de leur droit d’opposition.

Dans ce cas, les données contenues sur la plateforme seront conservées pendant une durée de 10 ans, sauf si le titulaire du compte sollicite spécifiquement leur suppression [6].

AVIS aux professionnels de santé !

Vous êtes amenés, en tant que soignant, à traiter chaque jour des données de santé ?

L’instauration de cette nouvelle version du “Dossier Médical Partagé” est susceptible d’impacter votre pratique au quotidien !

Notez qu’il est indispensable d’interroger vos patients sur la question de savoir s’ils vous autorisent à consulter et à alimenter leur compte personnel. A défaut, toute connexion à leur Dossier Médical Partagé constitue un accès illégitime, et vous expose à des sanctions judiciaires, pénales ou émanant des ordres professionnels.

Vous devez également respecter les droits dont bénéficient vos patients pour la protection de leurs données personnelles. A cet égard, vous êtes tenus répondre aux demandes d’accès et de rectification qui vous seraient adressées par ces derniers si vous êtes à l’origine du document objet de leur requête [7].

Nous attirons également votre attention sur le fait que, comme le rappelle l’article R.1111-40 du Code de la Santé Publique, le Dossier Médical Partagé ne se substitue pas au dossier que tient chaque professionnel de santé, quel que soit son mode d’exercice, dans le cadre de la prise en charge d’un patient.

Or, à cet égard, des règles spécifiques s’imposent compte tenu de la sensibilité des données que vous manipulez : mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques pour les droits et libertés des personnes concernées, recours à des prestataires agréés ou certifiés pour l’hébergement, le stockage ou la conservation des données de santé, etc.

Si vous n’êtes pas certains d’agir dans le respect de la législation en vigueur en matière de protection des données personnelles, il est encore temps de dresser le diagnostic de votre conformité !

A l’heure ou nous finissions la rédaction de cette article, la CNIL, publie une FAQ sur le sujet pour l’information du grand public, qui comme toujours est extrêmement clair que nous vous invitons à consulter en complément.

L.H

[1] Les utilisateurs peuvent néanmoins changer d’avis à tout moment, en demandant la clôture de leur Espace Numérique de Santé.

[2] Les conditions d’instauration et de mise en œuvre de cet Espace Numérique de Santé ainsi que du Dossier Médical Partagé inclus en son sein sont régies par les articles L.1111-13 et suivants et R.1111-26 et suivants du Code de la Santé Publique.

[3] Conformément à l’objectif défini à l’article L.1111-14 du Code de la Santé Publique (CSP).

[4] Cette autorisation sera alors réputée valoir pour tous les membres de l’équipe de soins à laquelle appartient ce professionnel habilité.

[5] Les utilisateurs ne peuvent toutefois pas retirer les documents versés sur leur compte personnel par des praticiens. Ils devront, dans ce cas, demander directement à l’auteur de l’information de la retirer.

[6] A l’inverse, si vous n’avez pas sollicité la destruction des renseignements vous concernant figurant dans l’application, il vous est possible de demander à tout instant, dans ce délai de 10 ans, le rétablissement de votre compte et de vos données de santé archivées.

[7] Article R.1111-51 du Code de la Santé Publique.

Données personnelles et IA

dans Actualités, Non classé, Thématiques

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

Le 5 avril 2022, la CNIL[1] rappelait avoir mis à disposition sur son site Internet un ensemble de documents explicatifs consacrés à l’Intelligence Artificielle (IA). Outre ses pouvoirs de contrôle, l’autorité régulatrice a pour mission d’informer le grand public sur divers sujets liés à la protection des données personnelles, ainsi que d’accompagner les professionnels dans leur conformité. Dans ce contexte, la Commission a jugé utile de vulgariser les connaissances des citoyens sur cette innovation nébuleuse qu’est l’Intelligence Artificielle.

La CNIL n’a évidemment pas sorti cette thématique de son chapeau par hasard.

Selon un sondage IFOP de 2017, 83% des Français auraient déjà entendu parler des algorithmes[2]. Toutefois, la moitié des personnes interrogées reconnaissait ne pas comprendre précisément en quoi consistent ces programmes. Pire, 64% d’entre elles s’avouaient inquiètes du développement de ces technologies.

D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes [3] et l’Intelligence Artificielle en 2017.

Si l’expression “Intelligence Artificielle” est fréquemment associée à un monde moderne et futuriste, elle ne relève pourtant pas du fictif. Comment cet univers surnaturel est-il devenu, justement, si naturel ?

L’intelligence Artificielle : supercherie ou véritable utilité ?

A ce jour, aucune définition officielle n’a été adoptée pour déterminer ce qu’englobe le terme d’ « Intelligence Artificielle ». Il est généralement entendu comme un domaine de la science tendant à permettre à des appareils électroniques de faire ce dont l’homme est capable moyennant une certaine intelligence.

Comme par enchantement (ou presque), votre ordinateur se voit ainsi en mesure de vous battre aux échecs, ou votre voiture autonome apte à vous conduire seule à bon port. Le Parlement Européen définit l’IA comme tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[4]. Ne vous bercez pas d’illusions, ces systèmes sont déjà omniprésents dans notre environnement.

♦ Exemple 1 : Les agents conversationnels ou « ChatBots »

De nombreux organismes ont recours à des “ChatBots” dans le cadre de leurs relations avec les clients, notamment pour la gestion des réclamations ou la fourniture d’une assistance en ligne. Nous parlons bien de la « personne » avec qui vous conversez lorsque vous rencontrez un problème sur le site de votre banque, dans vos démarches dématérialisées, ou encore lorsque vous interrogez Siri, Google Assistant ou Alexa sur la météo de demain.

Ces robots conversationnels sont capables de comprendre la question qui leur est adressée en fonction de son contexte et d’y répondre de manière standardisée. Ils constituent des formes d’Intelligence Artificielle.

Capture d’écran d’un ChatBot sur le site de la Caisse d’Allocations Familiales

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

Ces techniques d’IA sont notamment utilisées à des fins de profilage en ligne. Elles permettent de vous proposer des contenus adaptés à vos préférences.

Exemples : suggestions de recherche sur le web, prédiction de mots sur vos claviers de portable, recommandations sur les réseaux sociaux ou les plateformes de streaming (musiques conseillées sur Deezer ou Spotify, liste de vidéos suggérées sur Netflix, etc.).

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Le marché regorge désormais d’applications destinées à aider les entreprises à améliorer et accélérer leurs procédures, que ce soit en interne (aide au recrutement, prédiction du « turn over » des salariés…) ou en externe (algorithme de calcul pour l’attribution ou non d’un prêt bancaire, des risques assurantiels…).

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

Afin de réaliser la tâche qui lui a été attribuée, la machine se voit d’un procédé automatisé reposant sur des algorithmes. Cette technique lui permet comme par magie, ou plutôt par l’application de règles mathématiques préalablement définies (des “modèles d’IA”), de générer une déduction ou une prédiction.

Grâce à ces modèles d’IA, l’appareil peut généralement étendre lui-même son champ de connaissances au fur et à mesure qu’il élargit sa base de données, par une méthode dite “d’apprentissage automatique“. Autrement dit, l’IA améliore sans cesse sa capacité à mimétiser les comportements humains à partir des informations qu’elle recueille progressivement. Ce tour de passe-passe repose donc sur la collecte et le traitement massifs de données potentiellement personnelles.

L’Intelligence Artificielle : un monde féérique ?

Si l’Intelligente Artificielle présente des avantages indéniables pour ses utilisateurs (gain de temps, d’énergie voire de fiabilité), sa mise en œuvre n’est toutefois pas sans risques. Ces algorithmes sont susceptibles de faire de nombreuses erreurs, qui peuvent être liées :

A la conception de leur système : les « biais discriminatoires »

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

Exemple : un échantillon de population insuffisamment large utilisé pour calibrer certains dispositifs de reconnaissance faciale peut induire des difficultés à identifier des individus de certaines origines ethniques.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

Exemple : inclure le sexe d’un candidat à l’embauche comme un critère de sélection, et non ses seules qualifications et compétences, est susceptible d’aboutir à une décision discriminante [5].

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Exemple : la machine constatant que, statistiquement, les individus décèdent très fréquemment dans leur lit pourrait en déduire à tort qu’il serait dangereux de dormir, plutôt que d’estimer qu’il lui manque une information supplémentaire à son analyse, à savoir l’état de faiblesse du défunt avant sa mort.

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

Soit les conséquences d’erreurs humaines dans l’écriture des programmes.

En effet, la logique de raisonnement assignée à l’appareil a été pensée par l’homme, avec toutes les déviances et la subjectivité que cela implique.

Soit le reflet de problèmes sociétaux actuels.

L’IA se fondant sur des statistiques issues de données réelles, elle a ainsi malheureusement tendance à reproduire voire à amplifier les inégalités de fait et discriminations existantes.

A leurs conditions d’utilisation

La mauvaise qualité des données (telle qu’une photo prise dans un lieu sombre pour une reconnaissance faciale) ou des défauts liés au matériel utilisé sont de nature à fausser les résultats de l’algorithme.

A leurs infrastructures ou à des défaillances informatiques « ordinaires » (piratage, endommagement des équipements terminaux, erreur humaine…)

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés.

►Les réflexes à adopter pour les utilisateurs

Nous vous conseillons d’abord de vérifier systématiquement si vous interagissez avec un robot ou une personne réelle. En cas de doute, n’hésitez pas à questionner votre interlocuteur ou le service compétent.

Nous vous recommandons de limiter au maximum la transmission de vos données personnelles si cela n’est pas nécessaire (formulation de question générique, claire et simple dans un “chatbot“ ; utilisation du mode « navigation privée » sur Internet pour limiter votre profilage selon votre historique, etc.). Gardez à l’esprit que la proposition ou suggestion émanant de la machine peut être erronée.

Afin de ne pas vous faire mener à la baguette, vous pouvez enfin exercer les droits qui vous sont reconnus pour conserver la maitrise de vos données personnelles, tel que votre droit d’information sur les caractéristiques principales de ces traitements de données.

L’article 22 du RGPD précise notamment que toute personne a le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Dans ce contexte, vous pouvez demander à connaître la logique sous-jacente à ces prises de décisions automatisées. Vous êtes aussi en droit d’exiger l’intervention d’une personne humaine dans le processus décisionnel, d’exprimer votre point de vue sur la décision ou de la contester.

►Les réflexes à adopter pour les professionnels

Conformément au principe de minimisation des données et de protection des données dès la conception, nous vous invitons à concevoir vos algorithmes de manière à restreindre autant que possible la collecte d’informations personnelles des individus concernés[6].

Les responsables de traitement doivent également faire preuve de transparence à l’égard des personnes ciblées par ces systèmes d’IA. En ce sens, il y a lieu d’indiquer si elles correspondent avec un robot, d’expliquer la méthode de raisonnement globale appliquée par l’algorithme, et de motiver chacune des réponses ou décisions éventuellement prises grâce à ces dispositifs. Les professionnels sont aussi tenus de faire superviser l’utilisation de ces technologies par un humain.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

» La Commission Européenne a adopté le 23 février dernier une proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données, plus connu sous le nom de “Data Act”. Ces dispositions visent notamment à créer un marché unique des données et à réguler les pratiques des plateformes numériques. »

De nombreux autres textes sont en cours de rédaction à l’échelle européenne afin d’encadrer davantage l’utilisation de l’Intelligence Artificielle, tels que :

Le Règlement ePrivacy, qui fixera les règles applicables en matière d’IA dans les services de communication électronique, et notamment sur les réseaux sociaux ;
Le Règlement sur l’Intelligence Artificielle proposé par la Commission Européenne en avril 2021, qui vise à trouver un juste équilibre entre le développement de ces technologies innovantes et la protection des données personnelles des citoyens européens.

Les lignes conductrices de ces législations en débat ont été publiées par les institutions compétentes. Nous vous invitons à vous inspirer dès maintenant des principes essentiels formulés par ces textes dans votre organisme, afin que votre mise en conformité s’effectue en un tour de main lorsqu’ils entreront en vigueur.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes et l’Intelligence Artificielle en 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[3] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[4] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[5] En effet, si l’entreprise n’a recruté que des hommes au cours des dernières années, l’algorithme est susceptible de conclure que la condition d’être de sexe masculin répond aux attentes de l’organisme.

[6] Le respect de ces impératifs se révèle d’autant plus important concernant le recueil de catégories de données sensibles ou susceptibles de conduire à des discriminations.

La fin de l’incognito…

dans Actualités, News, Thématiques

Le RGPD, C’est pas la mer à boire !

dans News, Thématiques

Ayez le vent en poupe ! Pensez votre conformité comme un atout plus qu’un fardeau.

Alors que la législation française encadrait déjà les activités de traitement de données personnelles depuis plus de quarante ans[1], l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a été vécue par de nombreux organismes comme un véritable raz-de-marée.

Beaucoup d’entre eux y ont vu une vague d’obligations légales s’ajoutant à celles déjà existantes, et une entrave de plus à la poursuite de leurs activités.

Face à ces nouvelles exigences, il vous est possible d’adopter deux comportements :

Soit vous décidez de nager à contre-courant, vous épuisant à instaurer les règles minimales imposées par les textes, sans convictions.
Soit vous choisissez de vous laisser happer par cette nouvelle dynamique insufflée par le RGPD, en essayant de comprendre le sens de la marée pour ne pas vous laisser balloter par les flots.

Nous vous conseillons évidemment d’opter pour cette seconde philosophie. Après tout, « c’est pas l’homme qui prend la mer, c’est la mer qui prend l’homme » Tintintin. (Renaud)

Car, au-delà de leur caractère impératif, ces dispositions, constituent, une véritable opportunité pour votre organisme si elles sont correctement appréhendées.

Votre conformité ? Un gage d’efficacité et de compétitivité incontestable !

L’application quotidienne des grands principes édictés par le RGPD s’inscrit dans les démarches d’amélioration continue mises en œuvre par votre structure.

Le règlement européen érige ainsi en règle fondamentale la « minimisation des données ». Autrement dit, seules doivent être collectées les données pertinentes au regard de l’utilisation qui en est faite.

Et, même si cela coule de source : qui dit moins de données recueillies, dit moins de risques de violation de la législation.

Afin de concrétiser ce principe, il appartient à votre organisme de dresser une cartographie de ses flux de données, entité par entité, service par service : quelles informations sont recueillies ? Dans quel but ? A qui sont-elles transmises et conservées ? Comment ?

Cette revue est l’occasion de vous interroger sur la pertinence de certaines de vos activités ou process.

Or, réduire au strict nécessaire le nombre d’informations à traiter, d’intermédiaires les manipulant ou encore le nombre d’étapes d’exploitation de ces renseignements, participe à optimiser le fonctionnement de votre structure.

Exemple : Inutile de demander à des prospects de remplir sur une fiche papier, retranscrite manuellement ensuite dans un fichier informatique, leurs coordonnées et leur état civil complets, si l’objectif n’est que d’être en mesure de les joindre par la suite. Un simple formulaire de contact en ligne comportant un pseudonyme et une adresse e-mail suffit !

Le RGPD réaffirme également le principe d’exactitude des données. Or, détenir des informations mises à jour est évidemment dans l’intérêt de votre entité.

[1] Notamment sur le fondement de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés », encore applicable de nos jours dans sa version modifiée.

Finis les rappels malencontreux d’anciens clients, qui plus est avec qui vous seriez en mauvais termes, au prétexte que leur numéro figurerait toujours sur vos annuaires, alors que le règlement interdit tout rappel de clients restés sans contact positif depuis plus de 3 ans. La CNIL vous a lancé une bouée dans un référentiel dédié.

Le RGPD oblige à une gestion efficace de vos traitements de données, et par là même de vos outils de travail – tant informatiques que les supports papier.

Votre conformité ? Un atout commercial indéniable !

Face à l’essor des appels indésirables, formulaires d’inscription ou newsletters non sollicitées, le respect de l’intimité des clients est devenu pour ces derniers un véritable critère de sélection.

Par définition, les obligations prescrites par le RGPD tendent à préserver le droit à la vie privée des individus concernés par le traitement de leurs données personnelles.

Informer clairement vos interlocuteurs (clients, prospects, fournisseurs) de ce que vous faites des informations qu’ils vous confient, et répondre rapidement et sans ambiguïté à leurs demandes d’exercice de droits – comme le prévoit les textes – répond à ces nouvelles attentes de transparence.

Prévoyez des outils permettant à vos clients de reprendre la main sur leurs données par le biais de leur compte client : s’abonner ou se désabonner à vos newsletters et offres promotionnelles, paramétrer les outils de communication (mail, sms, courriers) ou encore permettre la mise à jour de leurs données.

En favorisant la confiance du public dans votre capacité à assurer la sécurité de leurs données, vous renforcez d’autant votre image de marque… Et vous vous démarquez de vos concurrents qui auraient échoué sur ce point !

Votre conformité ? Un outil de navigation précieux !

Le responsable de traitement est tenu de prendre toutes les mesures de sécurité juridiques, physiques et logiques nécessaires pour assurer la protection des données qu’il exploite.

Cette obligation de prévenir les failles de sécurité et les cyberattaques n’est pas futile. Bien au contraire !

Ces événements malheureux inhibent l’exercice régulier de vos missions. Ils mobilisent d’importants moyens pour les résoudre. Une perte de temps, d’énergie et d’argent que votre organisme peut s’épargner si vous anticipez correctement ces éventuelles perturbations.

Organiser la maintenance de vos réseaux informatiques pour empêcher tout dysfonctionnement, mettre en place des dispositifs de détection des incidents de sécurité, adopter une procédure sur les démarches à suivre pour assurer la continuité et la reprise de vos activité en cas de crise… sont des formalités, directement déduites des dispositions du RGPD, qui contribuent à éviter ces récifs.

La législation en vigueur en matière de protection des données constitue ainsi une opportunité de sécuriser votre patrimoine informationnel, qui compose votre capital immatériel.

Exemple : Le RGPD vous impose de ne conclure de partenariats qu’avec des sous-traitants présentant des garanties suffisantes en termes de conformité. Cette précaution permet de s’assurer que vos prestataires ne révéleront pas, volontairement ou involontairement, diverses informations vous distinguant de vos concurrents sur le marché.

Il peut s’agir de protéger des renseignements d’ordre technique (secrets de fabrication, savoir-faire…), juridique, financier (bilan comptable), commercial (stratégie de développement, fichiers clients, résultat d’études de marché, négociations en cours, carnet de commandes…) ou encore humain (contexte social de l’entreprise).

Votre conformité donne donc à votre entreprise les moyens de se développer en toute sérénité.

Votre conformité ? Une méthode de gestion des risques inévitable !

L’autorité de contrôle en matière de protection des données [2] est habilitée à prononcer de nombreuses sanctions en cas de violation de vos obligations. Ces condamnations peuvent aller jusqu’à une limitation temporaire ou définitive du traitement de données constituant le cœur de votre activité ! Sans compter les risques de poursuites pénales, si ces faits sont constitutifs d’une infraction.

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

Si des manquements au RGPD vous étaient imputés, ceux-ci pourraient également impacter l’équilibre économique de votre organisme.

A cet égard, les amendes administratives susceptibles de vous être infligées ne sont pas les seules menaces pesant sur vos finances.

Au même titre que les déclarations fiscales, sociales ou environnementales, votre conformité entre dans le cadre des garanties dont vous seriez redevables dans l’hypothèse d’une cession ou d’une fusion-acquisition de votre société.

Elle constitue donc, à l’inverse, un élément de valorisation de votre entreprise dans le cadre de ces négociations, et évite un auto-sabordage.

Enfin, les échos de votre éventuelle non-conformité seraient de nature à porter considérablement atteinte à votre réputation. Ils amenuiseraient votre attractivité aux yeux de vos partenaires commerciaux.

Mais non ! Respecter le RGPD, ce n’est pas la mer à boire !

L’esprit du texte européen vise à inciter les responsables de traitement à adopter des mesures adaptées au risque.

Il est davantage question d’insuffler des réflexes et des processus conformes aux principes essentiels du RGPD, plutôt que d’appliquer sans réfléchir des doctrines incomprises. Autrement dit : du bon sens et de l’intérêt pour le sujet, plutôt que l’instauration de formalités purement protocolaires et de dispositifs techniques inappropriés.

Face à cette marge de manœuvre qui vous est octroyée, à vous de décider des meilleurs moyens pour ancrez profondément dans votre organisme une « logique » RGPD, tout en gardant le cap sur vos stratégies de développement !

Larguez les amarres ! Formez-vous et faîtes vous accompagner par des professionnels pour comprendre véritablement l’essence de la législation en vigueur en matière de protection des données, ainsi que sa concrétisation dans votre propre structure.

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L.H

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

① Les économies réalisées grâce à votre conformité

② Les pertes évitées grâce à votre conformité

***

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

① Violation des règles relatives à la prospection

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

– Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

– Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

– Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

② Violation des règles relatives au respect des droits des personnes concernées

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

Êtes-vous vous-même conforme ?

En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

① Un DPO, oui mais pour quoi faire ? – Les missions du DPO

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme. L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

– Conformité de votre site Internet : quels sont les points de vigilance ? –

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Dotez-vous d’une politique de protection des données accessible et compréhensible

ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].

Contrôlez le recueil du consentement des personnes concernées

Veillez à la bonne gestion de vos cookies et autres traceurs

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

Qu’est-ce que cette mesure préventive ?

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Niveau de risque = vraisemblance du risque X gravité du risque

Mais encore ?…

ÉTAPE 1 :

ÉTAPE 2 : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

Alors comment mener une AIPD si celle-ci s’impose ?

Qui pourra accéder à « Mon Espace Santé » ?

Quid du « Dossier médical partagé » intégré dans l’ENS ?

Quels sont mes droits en tant qu’utilisateur ?

AVIS aux professionnels de santé !

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

L’intelligence Artificielle : supercherie ou véritable utilité ?

♦ Exemple 1 : Les agents conversationnels ou « ChatBots »

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

L’Intelligence Artificielle : un monde féérique ?

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

Ayez le vent en poupe ! Pensez votre conformité comme un atout plus qu’un fardeau.

Des Experts à votre service

RGPD Experts

Contacts et Liens Utiles

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.