Suite à plusieurs plaintes reçues ces derniers mois sur le sujet des « murs de traceurs » (cookie walls en anglais), la CNIL a publié, le 16 mai dernier, des premiers critères permettant d’évaluer la légalité de cette pratique.
Pour mémoire, les cookie walls est une pratique selon laquelle l’internaute est obligé d’accepter le dépôt de certains traceurs sur son terminal (ordinateur, smartphone, … etc.) pour accéder à un service sur internet. A défaut d’acceptation, celui-ci sera obligé de fournir une contrepartie financière pour accéder au site.
La CNIL rappelle dans un premier temps que si le dépôt de cookie walls est susceptible de porter atteinte, dans certains cas, à la liberté du consentement, cette pratique n’est pourtant pas interdite de manière générale. Sa légalité doit en effet être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternatives réelles et satisfaisantes proposées en cas de refus des traceurs.
La CNIL recommande, en second temps, la prise en compte de certains critères afin d’apprécier si la pratique de cookie walls est susceptible de porter atteinte au consentement de l’utilisateur. Les opérateurs devront en effet :
Pour mémoire, La CNIL et le CEPD ont appelé, à plusieurs reprises, le législateur européen à fixer des règles plus précises en matière de cookies dans le futur règlement européen ePrivacy, en cours d’élaboration.
Consultez ici le communiqué de la CNIL : Cookie walls : la CNIL publie des premiers critères d’évaluation
Dans l’objectif d’harmoniser la politique de sanction suivie par les autorités nationales de protection des données, le Comité Européen de la Protection des Donnée (CEPD) a publié, le 12 mai dernier, de nouvelles lignes directrices sur la méthodologie de calcul des amendes administratives liées à la violation des règles du RGPD.
Ces lignes directrices viennent d’ailleurs s’ajouter au guide adopté par le CEPD sur l’application et la fixation des amendes et dans lequel l’autorité européenne insiste sur la nécessité de prendre en compte les circonstances de chaque affaire lors de la prescription d’une amende.
Pour rappel, l’article 83 du RGPD dispose d’ailleurs que les amendes administratives, déterminées en principe par les autorités nationales de contrôle doivent dans chaque cas être effectives, proportionnées et dissuasives, sans pourtant excéder le plafond déterminé par le RGPD.
Dans le respect des principes cités ci-dessus, le CEPD prévoit que les Autorités de contrôle doivent suivre les cinq étapes suivantes :
Autrement dit, la méthodologie expliquée ci-dessus ne repose pas sur un simple calcul mathématique, mais plutôt sur les circonstances spécifiques à chaque infraction afin de déterminer le montant final de l’amende qui, lui, peut varier dans les limites imposées par le RGPD.
Ces lignes directrices sont soumises à consultation publique jusqu’au 27 juin prochain.
Consultez ici l’intégralité du document en anglais : Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 0.1
Comme chaque année, la CNIL a publié, le 11 mai dernier, son rapport d’activité pour l’année 2021.
Ce rapport met en avant l’activité particulièrement intense de la CNIL d’une part, et présente sa stratégie d’action pour les années à venir d’autre part.
Concernant son activité pour l’année 2021, la Commission fait le point sur son action d’accompagnement des opérateurs économiques dans leur démarche de conformité au RGPD mais aussi sur le contrôle du respect du règlement par ces derniers. Ces actions, concernant d’ailleurs plusieurs secteurs y compris celui de l’assurance, sont présentées en détail dans le rapport. Il s’agit notamment :
S’agissant plus particulièrement du secteur de l’assurance, celui-ci a fait en 2021 l’objet d’un accompagnement privilégié mais aussi d’une surveillance accrue, compte tenu des données sensibles que les organismes et les distributeurs d’assurance sont amenés à traiter. En effet :
Les enquêtes menées ont ainsi permis de constater de nombreuses vulnérabilités, des insuffisances dans les politiques de mots de passe ou encore des suites cryptographiques obsolètes. Ce qui nous alerte sur la nécessité de renforcer la sécurité de notre système numérique face aux cyberattaques.
Concernant sa stratégie pour les années à venir, la CNIL confirme son intention de renforcer le respect effectif des droits sur la protection des données en mettant en œuvre des moyens d’accompagnement et de sanction qui sont agiles, équilibrées et efficaces. C’est ainsi qu’elle précise ses orientations autour des trois axes prioritaires suivants :
En résumé, la CNIL renouvelle sa politique d’accompagnement, sa mobilisation accrue sur la cybersécurité et prévoit de renforcer son action répressive.
Consultez ici l’intégralité du rapport : Rapport annuel 2021 CNIL
Pour mémoire, le RGPD dispose que toute personne physique dispose d’un droit fondamental d’agir contre un opérateur économique afin d’assurer la protection de ses données personnelles. Ce droit n’est pourtant pas limité à l’action individuelle mais s’étend également aux actions collectives, notamment celles intentées par des associations de consommateurs en cessation de violation des données personnelles. Ce qui a été récemment confirmé par un arrêt de la Cour de justice de l’Union Européenne du 28 avril dernier (C-319-20).
Dans cette affaire, une association allemande de défense des consommateurs engage une action en cessation à l’encontre d’une société gérant la plate-forme Internet Facebook. Celle-ci a mis à la disposition des utilisateurs des jeux gratuits fournis par des tiers. En revanche, la société en cause indique que la seule utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données personnelles et de publier les informations ainsi collectées.
Ces faits ont incité l’association à agir en justice reprochant à la société exploitant la plateforme Facebook de procéder à la collecte et au traitement des données personnelles sans obtenir de consentement des personnes concernées. C’est ainsi qu’une question préjudicielle a été posée à la Cour de Justice sur la recevabilité d’une telle action lorsque l’association demanderesse n’a reçu aucun mandat des consommateurs.
En réponse à cette question, la CJUE confirme que les États membres peuvent prévoir un mécanisme d’action représentative contre l’auteur présumé d’une violation des droits aux données personnelles, à condition de respecter un certain nombre d’exigences.
Si cet arrêt ne met pas en cause des organismes d’assurance, il porte cependant une interprétation des règles générales du RGPD applicables à tout opérateur économique, quelle que soit sa qualification. La haute juridiction européenne confirme en effet que :
Consultez ici l’arrêt de la CJUE : ARRET DU 28. 4. 2022 – AFFAIRE C-319/20
Dans l’objectif d’accompagner le mouvement progressif de création et de traitement des données au cours de ces dernières années, France Assureur a publié, le 21 avril dernier, un livre blanc qui contient plusieurs propositions permettant d’utiliser les données à des fins d’innovation tout en assurant un niveau suffisant de protection.
Permettant d’aider les citoyens et les entreprises à faire face à des menaces cyber, ce Livre Blanc contient d’abord des propositions relatives à la protection des données. Il s’agit plus particulièrement de :
Ensuite, France Assureur propose la mise en place, au niveau européen, d’un cadre qui favorise l’utilisation des données à des fins d’innovation, sans compromettre le respect du choix de l’utilisateur de partager ses données et le droit des acteurs à un accès transparent et équitable.
Enfin, la Fédération propose de préparer les embauches à venir dans les métiers digitaux par le renforcement des formations concernant les compétences stratégiques pour la transformation des modèles de développement.
Consultez ici l’intégralité du document : Livre blanc : Bâtir une économie de la donnée innovante et protectrice en faveur des Français
