Dans un communiqué publié le 6 avril dernier, le comité européen de la protection des données a salué l’accord de principe conclu entre la Commission européenne et les Etats-Unis sur un nouveau cadre légal de transfert des données vers le pays outre atlantique.
Cet accord fait suite à de multiples violations commises aux Etats-Unis, aux droits à la protection des données personnelles provenant de l’Europe.
Pour mémoire, la CJUE a, le 16 juillet 2020, rendu un arrêt qui oblige les exportateurs des données de continuer à mettre en œuvre les actions nécessaires afin de s’assurer que le pays de destination des données assure un niveau de protection équivalent à celui imposé par le RGPD.
Malgré l’aboutissement d’un nouvel accord, ces opérateurs n’en restent pas moins soumis aux exigences de la CJUE lors du transfert des données vers un pays tiers, notamment aux Etats-Unis.
En effet, si cet accord engage les autorités aux Etats-Unis d’établir des mesures sans précédent pour assureur la protection des données personnelles en provenance de l’EEE, il ne revêt pourtant qu’une portée politique sans aucune valeur juridique.
Ainsi, le CEPD examinera comment cet accord politique sera traduit en des propositions juridiques concrètes qui matérialisent les exigences de la CJUE d’assurer un niveau de protection des données conforme à celui du RGPD. Il s’agit plus particulièrement d’examiner :
Il convient de rappeler enfin que le RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter toute nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les Etats-Unis.
Consultez ici la déclaration du CEPD en anglais : Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework
En raison du nombre élevé des plaintes reçues par la CNIL pour violation des données personnelles, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis de simplifier les procédures permettant la mise en œuvre des mesures correctrices et de sanctions en cas de manquement au RGPD ou à la loi « Informatique et Libertés » du 6 janvier 1978.
L’article 33 a ainsi prévu que la mise en œuvre de ces procédures simplifiées sera régie par un décret en conseil d’Etat. C’est désormais chose faite avec l’entrée en vigueur du décret du 8 avril 2022.
Dans cette perspective, ce décret laisse ouvert le nombre d’échanges et allonge les délais requis pour les produire. Il ouvre également la possibilité à la mise en œuvre d’une procédure orale.
Le nouveau texte définit ensuite les modalités de la procédure simplifiée de sanction et de la procédure d’injonction à produire en cas d’absence de réponse à une mise en demeure devant le président de la formation restreinte.
Le décret autorise enfin à la commission à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans le cadre de la procédure ordinaire, ou susceptibles d’être désignées rapporteurs dans le cadre de la procédure simplifiée. Cette autorisation est toutefois admise sous réserve d’absence de conflit d’intérêts. Il en est notamment ainsi lorsque les rapporteurs ont un intérêt direct ou indirect dans l’un des organismes mis en cause dans le cadre de la procédure simplifiée.
Il organise la procédure d’échange entre la formation restreinte et les différentes autorités de contrôle lorsqu’il y existe un élément nouveau permettant de dépasser le cadre de la procédure simplifiée pour suivre une procédure ordinaire.
Pour mémoire, les sanctions susceptibles de pouvoir être prononcées dans le cadre d’une procédure simplifiées sont les suivantes :
Consultez ici l’intégralité du document : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JO 10 avril 2022 ; texte n° 20)
Il est intéressant de savoir que des entités étrangères ont parfois la possibilité de récupérer des dossiers et des données, par le biais des procédures judiciaires ou administratives ad hoc. Ces démarches peuvent fragiliser les entreprises visées par ces entités.
Cette technique d’appropriation avait conduit à l’adoption d’une loi n° 68-678 du 26 juillet 1968 dite « Loi de blocage » dont l’objectif est d’encadrer la communication de documents, de renseignements et de données d’ordre économique, industriel et financier, … etc., à destination des entités étrangères.
C’est dans ce contexte qu’une grande réforme de modernisation a été lancée en 2022, ayant pour but de réaliser l’adéquation de la réglementation aux récentes évolutions du marché numérique actuel.
Un décret du 18 février et un arrêté du 7 mars 2022 sont en effet venus allonger la liste des informations qui ne peuvent pas être communiquées en cas de requête venant d’entités étrangères.
Il a été ajouté par exemple, le détail des couvertures d’assurance principalement en matière de cybersécurité ou encore les avis juridiques en matière de conformité et d’audits internes dans le domaine de la sécurité des systèmes d’information.
Au-delà de ces réformes, le ministère de l’Economie a mis en place un mécanisme d’accompagnement des entreprises en créant le « Service de l’Information Stratégique et de la Sécurité Economique » (SISSE). Ce dernier joue le rôle de point de contact centralisé, s’assure de la mise à disposition des bonnes informations sollicitées par des organes étrangers et protège avant tout les intérêts stratégiques de la France.
Ce service est joignable à l’adresse suivante :
loi.deblocage@finances.gouv.fr.
Dans cette perspective, il a été publié un guide co-rédigé par le Medef et l’Association Française des Entreprises Privées, en mars 2022 qui évalue et estime le niveau de criticité des informations pouvant faire l’objet des sollicitations.
Consultez ici le décret, l’arrêté et le guide co-rédigé : Décret du 18 février 2022 ; Arrêté du 7 mars 2022 ; Guide à usage des entreprises d’identification des données sensibles
La nouvelle n’a surement pas dû vous échapper ! Le premier trimestre 2022 a été marqué par le décret sur la distribution d’assurance par voie de démarchage téléphonique. Pour compléter la réglementation sur la protection des données lors des appels téléphoniques, la CNIL formule sa position sur l’enregistrement des conversations dans le cadre probatoire suivant la formation d’un contrat.
En effet, l’enregistrement des conversations téléphoniques à des fins de preuve de la formation d’un contrat est autorisé. Il est même parfois prévu et encadré par la loi comme dans le code monétaire et financier ou dans le code des assurances. Cependant, cet enregistrement est autorisé sous réserve de conditions et de garanties, que la CNIL rappelle dans son article.
L’enregistrement doit être nécessaire pour prouver la formation d’un contrat. C’est-à-dire qu’il ne doit pas exister d’autres moyens possibles pour conclure le contrat. Ce dernier peut donc être oral.
Si la conclusion du contrat par téléphone est acceptée par la personne concernée, malgré d’autres formes de conclusions possibles, alors cette dernière doit avoir été correctement informée.
Cette information sur les possibilités de conclure le contrat par d’autres moyens est donc indispensable pour que l’enregistrement puisse être considéré comme nécessaire au contrat. La base légale retenue sera donc celle du contrat (article 6.1.b du RGPD).
En tous les cas, de fortes garanties doivent être apportées. Tout d’abord, le principe de minimisation doit être strictement respecté, l’enregistrement ne peut être ni permanent, ni systématique. Cela signifie que seules les conversations portant sur la conclusion du contrat doivent être enregistrées.
La CNIL recommande fortement que le téléopérateur puisse déclencher manuellement l’enregistrement au moment où l’objet de la conversation porte clairement sur la conclusion du contrat. De plus, cet extrait ne pourra être conservé qu’en l’absence d’une autre modalité de preuve de la formation ou de l’exécution du contrat (exemple : confirmation écrite).
Par ailleurs, la CNIL rappelle que l’information communiquée aux personnes concernées doit être concise, transparente, compréhensible, accessible, en des termes clairs et simples. Au regard du nombre d’informations devant être communiquées, elle recommande que cette information s’effectue en deux temps :
Puis, la CNIL fait état d’une garantie de limitation des durées de conservation des enregistrements qui doivent être prises en compte, cohérente avec la politique d’archivage et de purges des données de l’organisme.
Enfin, la CNIL insiste particulièrement sur la sécurisation des données avec la mise en place opérationnelle d’une politique d’habilitation afin d’accéder aux enregistrements pour sécuriser les données et gérer la traçabilité des accès.
Ce point de sécurité ne peut être complet sans un point de vigilance mis en exergue par la CNIL concernant les données bancaires transmises lors de ces appels téléphoniques. Elle considère que l’enregistrement de ces données ne sont pas nécessaires à la bonne exécution du paiement. La CNIL recommande donc la mise en place d’un dispositif pouvant interrompre ou supprimer rapidement l’enregistrement au moment où le consommateur prononce ces données.
Consultez ici l’article de la CNIL : L’enregistrement des conversations téléphoniques afin d’établir la preuve de la formation d’un contrat
Les données de santé sont considérées comme des données sensibles au sens du RGPD. Il en est ainsi du traitement du NIR (Numéro d’Inscription au Répertoire ou numéro de sécurité sociale) qui, par principe, est interdit sauf autorisation par décret en Conseil d’Etat.
Ce rappel des dispositions du RGPD peut expliquer la lourde amende infligée à la société DEDALUS BIOLOGIE le 15 avril par la CNIL.
Dans cette affaire, une fuite de données massive concernant près de 500 000 personnes a été révélée, le 23 février 2021, dans la presse ayant mis en cause ladite société. Les données apparues sur internet étaient : nom, prénom, NIR, nom du médecin prescripteur, date d’examen et autres informations médicales sur les patients.
Depuis cette date, la CNIL a réalisé plusieurs contrôles auprès de la société et a saisi le tribunal judiciaire de Paris pour bloquer l’accès au site internet sur lequel les données étaient publiées, ce qui a été fait dès le 4 mars 2021.
Suite à ces contrôles, la CNIL a constaté les manquements :
La décision de la CNIL s’est particulièrement penchée sur le manquement à l’obligation d’assurer la sécurité des données personnelles. En effet, elle a constaté de nombreuses absences de mesures de protection comme l’absence de chiffrement des données personnelles stockées, d’effacement automatique des données, d’authentification requise depuis internet, de procédure de supervision et de remontée d’alertes de sécurité sur le serveur, etc.
Pour ces motifs, la CNIL a sanctionné la société DEDALUS BIOLOGIE à une amende de 1.5 million d’euros.
A l’occasion de cette décision, nous ne pouvons que réitérer nos recommandations : assurez-vous de la mise en place et de l’effectivité des mesures de sécurité des données personnelles.
Consultez ici l’intégralité de la décision et de l’article de la CNIL : Décision SAN-2022-009 du 15 avril 2022 ; Fuite de données de santé : sanction de 1.5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE
La collecte 2022 du questionnaire sur les pratiques commerciales et la protection de la clientèle a débuté ce mois-ci, la date limite de la remise de celui-ci étant fixée au 30 juin 2022 au plus tard.
Pour mémoire, ce questionnaire comprend à la fois un formulaire socle dont la remise est imposée à tous les organismes assujettis, et des formulaires thématiques dont la complétude s’impose uniquement aux « organismes représentatifs ».
Les données à renseigner sont celles de l’année 2021 et la remise de ce questionnaire doit exclusivement être effectuée via le portail « OneGate ».
Depuis le 30 mars 2022, la rubrique relative à la protection sociale complémentaire (PSC) est enfin accessible dans le BOSS !
Près d’un an après la création et la mise en ligne du Bulletin Officiel de la sécurité sociale (BOSS) au 1er avril 2021, il s’agissait en effet de la seule rubrique dont l’ouverture avait été retardée et qui manquait donc encore à l’appel pour permettre aux employeurs d’opposer à l’administration sa propre doctrine, sur des sujets susceptibles d’affecter le traitement social de leurs contributions au financement des régimes de protection sociale complémentaire mis en place au profit de leurs salariés.
La consultation de cette rubrique constituera par ailleurs une source d’informations très utile pour les organismes assureurs gestionnaires de portefeuilles collectifs, en particulier pour l’exercice de leur devoir de conseil.
Comme annoncé, le contenu de cette rubrique a ainsi pour but de centraliser l’ensemble de la doctrine administrative antérieure que nous avions jusqu’alors l’habitude de consulter au travers des circulaires de la Direction de la sécurité sociale et sera enrichi ultérieurement à chaque évolution de cette doctrine.
A ce stade, il est organisé autour des 6 chapitres suivants :
A noter toutefois que pour le moment, les commentaires de l’administration qui y sont mentionnés ne sont pas encore rendus définitifs, une période de consultation publique étant ouverte
jusqu’au 15 mai 2022 pour que les cotisants et les professionnels du secteur apportent leurs contributions.
En tout état de cause, il est prévu qu’une fois cette période éteinte, les dispositifs présentés dans la rubrique seront applicables et opposables à l’administration à compter du 1er juillet 2022, date à laquelle les circulaires dont les dispositions ont été reprises ou adaptées seront abrogées.
Consultez ici l’intégralité du document : Consultation publique sur la rubrique « Protection sociale complémentaire » du BOSS
