Voilà près d’un an, la Commission européenne rendait deux décisions d’exécution relatives à de nouvelles clauses contractuelles types dont tout professionnel peut se saisir pour les insérer dans ses contrats :
Pour mémoire, rappelons, en outre, que s’agissant de ces dernières, il n’est plus possible, depuis le 27 septembre 2021, de conclure des contrats incorporant les anciennes clauses contractuelles types et que pour les contrats en cours à cette date, ils doivent être mis en conformité avec les nouvelles rédactions au plus tard à effet du 28 décembre 2022.
Aussi, s’appuyant sur les différents retours d’expérience qui lui sont parvenus concernant l’utilisation de ces nouvelles clauses, la Commission européenne a publié le 25 mai dernier un document sous forme de questions-réponses visant à aider les parties prenantes dans leurs efforts de mise en conformité.
Ce document, qui ne comprend pas moins de 44 questions, fournit ainsi des orientations pratiques sur l’utilisation des clauses et sur le contexte dans lequel elles sont susceptibles de s’inscrire.
Il est par conséquent fortement recommandé de s’en saisir, en particulier si vous utilisez les services d’un prestataire qui héberge vos données en dehors de l’UE, ou que vous faites appel à une tierce maintenance depuis un pays hors UE.
Consultez ici l’intégralité du document (en anglais) : Questions and Answers for the two sets of Standard Contractual Clauses (25 mai 2022)
L’affaire Google Analytics connait un nouvel épisode avec la publication par la CNIL d’un article sur la mise en conformité de l’outil de mesure d’audience et d’une foire aux questions relative à ses dernières mises en demeures concernant la mise en œuvre de cet outil.
Pour rappel, la CNIL a procédé, le 10 février dernier, en coopération avec ses homologues européens, a des mises en demeure contre plusieurs structures pour transferts illégaux de données vers les Etats-Unis via Google Analytics. Elle considère que l’utilisation de cet outil entraîne des transferts non sécurisés de données personnelles, incitant ainsi les organismes à trouver des solutions et des alternatives afin de respecter les exigences relatives à la protection des données, notamment celles issues du RGPD.
Concernant d’abord la mise en conformité de l’outil de mesures d’audience, la CNIL explique que les mesures de paramétrage et de chiffrement ne suffisent pas, car elles n’empêchent pas l’accès aux données par des autorités extra-européennes. En effet, la problématique est celle du contact direct par le biais d’une connexion HTTPS, entre le terminal de la personne et les serveurs de Google. Les requêtes qui en résultent permettent aux serveurs Google d’obtenir l’adresse IP et des informations sur le terminal de l’internaute.
La seule solution envisageable est donc celle de rompre ce contact, ce qui est possible grâce à l’utilisation d’un proxy (un serveur mandataire). Concrètement, les adresses IP et informations auxquelles les serveurs de Google auront accès sont celles du proxy et non des internautes.
Cependant, il est nécessaire que ce serveur proxy remplisse certaines conditions pour considérer que cette mesure s’inscrit dans la ligne des recommandations du CEPD du 18 juin 2021 sur les instruments de transfert permettant de garantir un niveau de protection des données équivalent à celui assuré par le droit de l’UE.
En l’occurrence, le responsable du traitement doit s’assurer (par une analyse) que les données personnelles pseudonymisées ne peuvent pas être réattribuées à une personne physique identifiée ou identifiable. En d’autres termes, il faut s’assurer qu’une réidentification de la personne concernée est impossible tant pour Google que pour les autorités extra-européennes, et ce même en croisant d’autres informations.
Par ailleurs, la CNIL dresse une liste des mesures nécessaires pour mettre en place cette « proxyfication » :
Cependant, la CNIL reconnaît que la mise en place des mesures décrites ci-dessus peut être couteuse et complexe et ne peut ainsi être réalisée par tous les opérationnels. Pour faire face à ces difficultés, la Commission rappelle que les professionnels peuvent recourir à des solutions ne réalisant pas de transferts de données personnelles en dehors de l’UE.
Concernant ensuite la foire aux questions, celle-ci permet de tirer les conséquences des dernières décisions.
Cette FAQ répond notamment aux questions suivantes :
Consultez ici l’article et la FAQ de la CNIL : Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? ; Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics
Conformément à l’accord de coopération en matière de cybersécurité signé, en novembre 2019, entre l’ACPR, la Banque de France et la Monetary Authority of Singapore, les trois autorités ont organisé, en à la mi-juin dernière, un exercice conjoint de gestion de crise cyber.
En effet, les cybermenaces ne se limitent pas aux frontières, elles sont mondiales ; ajoutons à cela l’interconnexion de nos systèmes financiers ; il est aujourd’hui primordial de renforcer la coopération transfrontière afin de préserver la stabilité financière et la résilience des services financiers essentiels.
Cet exercice avait pour objectif de tester l’efficacité de la coordination et de la réponse des autorités financières dans plusieurs scénarios d’attaques cyber. Elles ont notamment dû faire face aux rançongiciels, aux vulnérabilités de jour zéro ainsi qu’à des attaques sur la chaîne d’approvisionnement logicielle.
Pour Bertrand Peyret, Secrétaire général adjoint de l’ACPR, cette expérience aura permis à tous de partager les meilleures pratiques afin de lutter contre les cybermenaces auxquelles les systèmes financiers sont exposés. Il conclut son propos en mettant en avant que cette coopération « nous rappelle également la nécessité pour les autorités de surveillance et les banques centrales, outre les procédures et protocoles requis des institutions financières, de disposer de procédures et de protocoles pour apporter une réponse à ces menaces, notamment au niveau transfrontière ».
Un exercice conjoint de gestion de crise est sûrement l’un des meilleurs moyens, pour se prémunir et apprendre aux opérationnels sur le terrain comment agir et quels sont les enjeux de la cybersécurité.
Consultez ici l’intégralité du communiqué de la Banque de France : Exercice conjoint réalisé par la MAS, la BdF et l’ACPR afin de renforcer la réponse et la préparation transfrontières aux crises cyber
Suite aux nombreuses plaintes relatives à la violation des données personnelles qu’elle a reçues contre Total Energies Electricité Gaz (Total Energies), la CNIL a effectué certains contrôles l’ayant conduite à prononcer une amende de 1 million d’euros à l’encontre de cette société.
Par cette décision, rendue d’ailleurs publique, la CNIL explique avoir constaté qu’un formulaire de souscription à un contrat d’énergie était disponible sur le site internet de l’entreprise.
Cependant, ce formulaire contenait un accord de l’utilisateur pour la réutilisation de ses données personnelles aux fins de recevoir ultérieurement des offres commerciales, et ce sans pouvoir s’y opposer. Ce qui constitue une violation aux exigences du RGPD et du Code des postes et des communications électroniques ou CPCE.
Par ailleurs, la CNIL a constaté des manquements aux obligations suivantes du RGPD :
Pour conclure, la CNIL précise que le montant de l’amende est justifié par les graves manquements au RGPD et au CPCE. En outre, elle tient compte des mesures prises par Total Energies au cours de la procédure pour se mettre en conformité.
Consultez l’intégralité de la décision : Délibération de la CNIL – SAN-2022-011 du 23 juin 2022
A l’occasion du Forum International de la Cybersécurité (FIC) ayant eu lieu en juin dernier à Lille, l’institution de lutte contre les cybermalveillances a lancé son nouveau module d’assistance, permettant à toute victime de profiter de son service de diagnostic et d’assistance en cas de cybermalveillances.
Ce module, intégrable dans toutes les pages d’un site internet, permet ainsi à tout utilisateur victime, qu’il soit particulier, entreprise, collectivité ou encore association :
Par ailleurs, toute entité possédant un site internet, soucieuse de la cybersécurité et de la sécurité en ligne de ses utilisateurs, peut d’ores et déjà demander la souscription gratuite au module, via le lien suivant :
Le module « Assistance Cyber en Ligne » – Assistance aux victimes de cybermalveillance
Consultez ici le communiqué de presse de cybermalveillance.gouv.fr : Cybermalveillance.gouv.fr met à disposition son nouveau module « ASSISTANCE CYBER EN LIGNE »
La consultation publique organisée sur la rubrique relative à la protection sociale complémentaire (PSC) a pris fin le 15 mai dernier et a semble-t-il rencontré un franc succès.
Dans un communiqué du 24 juin dernier, l’administration se félicite d’ailleurs de manière générale du bilan très positif que cette base présente pour la sécurisation des entreprises après un an de publication.
Aussi, dans cette actualité, nous pouvons lire qu’alors que les contenus de la rubrique relative à la PSC devaient être rendus opposables à compter du 1er juillet 2022, cette date est finalement reportée au 1er septembre 2022.
Nombre de contributions formulées au cours de la consultation publique sont en effet encore en cours d’examen et ce délai supplémentaire va ainsi permettre à l’administration d’apporter des précisions nouvelles pour répondre au mieux aux attentes des utilisateurs.
Consultez ici l’intégralité du document : Actualités du BOSS – Communiqué du 24 juin 2022
