A la question : l’exercice par la personne concernée du droit d’accès à ses données personnelles traitées oblige-t-il le responsable de traitement à lui communiquer une copie fidèle de l’ensemble des informations et documents en sa possession qui comportent ces données ?

Dans un arrêt récent, la Cour de justice de l’UE répond OUI !

En effet, si elle ne reconnait pas le droit d’obtenir une copie des données, ainsi que le prévoit l’article 15 §3 du RGPD, comme un droit distinct de celui de pouvoir y accéder, elle précise cependant que :

• le droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ;
• ce droit d’accès est en outre nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, les autres droits qu’elle détient en vertu du règlement (rectification, effacement, limitation du traitement, opposition…) ;
• partant, la copie des données à caractère personnel faisant l’objet d’un traitement doit donc présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits et doit par conséquent reproduire intégralement et fidèlement ces données.

En conclusion : le droit pour la personne concernée d’obtenir de la part du responsable du traitement une copie de ses données à caractère personnel faisant l’objet d’un traitement, dans le cadre de l’exercice de son droit d’accès, implique qu’il lui soit remis une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui peut nécessiter de lui communiquer la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, dès lors que la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD.

Consultez ici l’intégralité du document : CJUE, 4 mai 2023, affaire C-487/21

Le projet de fusion entre la carte d’identité et la carte Vitale pour combattre la fraude sociale suscite des inquiétudes quant à la protection des données personnelles. Malgré les recommandations de la CNIL, le gouvernement persiste malgré tout dans cette voie, suscitant des interrogations sur les risques potentiels et les alternatives non explorées.

Le ministre des Comptes publics a en effet récemment annoncé un projet de fusion de la carte d’identité et de la carte Vitale afin de lutter contre la fraude sociale dans le domaine des prestations de soins. Cependant, cette initiative soulève de sérieuses préoccupations de la part de la CNIL en matière de protection des données personnelles.

Dans une lettre datée du 13 mars dernier, la CNIL a rappelé que le numéro de sécurité sociale (NIR) est une donnée hautement sensible, propre à chaque citoyen français. Elle a souligné la nécessité d’une évaluation minutieuse de la fraude sociale et de l’adoption de réponses proportionnées et efficaces. Malgré ces mises en garde, le gouvernement a néanmoins opté pour l’intégration du NIR dans la carte d’identité électronique, un choix qui, selon la CNIL, présente toutefois le moins de risques et d’intrusions au regard des divers scénarios proposés.

La CNIL a formulé plusieurs recommandations pour garantir la protection des données personnelles. Elle insiste sur la nécessité de cloisonner le NIR dans un compartiment sécurisé de la puce électronique de la carte d’identité, accessible uniquement aux acteurs médicaux et médico-sociaux. De plus, des mesures de sécurité supplémentaires doivent être mises en place pour éviter toute divulgation du NIR à des tiers non autorisés.

Cependant, la CNIL reste sceptique quant à l’utilisation d’une carte Vitale biométrique. Elle souligne les difficultés de déploiement chez les professionnels de santé, les risques liés à la sensibilité des données et les menaces potentielles d’attaques informatiques visant à obtenir les données biométriques des assurés sociaux. De plus, l’utilisation d’une telle carte pourrait compromettre les délégations de la carte Vitale, affectant ainsi la prise en charge de certaines personnes.

Cette initiative soulève également des inquiétudes quant à la protection des droits individuels et à la vie privée des citoyens. La CNIL insiste sur la nécessité de préserver le choix des assurés sociaux de ne pas inscrire leur numéro de sécurité sociale sur leur carte d’identité et de maintenir des alternatives à l’utilisation de la carte d’identité.

Consultez ici le communiqué de la CNIL : Les points d’attention de la CNIL concernant la protection des données

Ce mois d’Avril a été marqué par la publication de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) qui, comme tous les ans, rédige un rapport d’activité sur l’exercice écoulé.

Concernant l’année 2022, il est primordial de rappeler l’influence du contexte européen et international sur l’environnement cyber. En effet, l’ANSSI reconnait que son activité durant l’année 2022 a été grandement impactée par l’invasion russe de l’Ukraine qui a permis de multiplier les actions de déstabilisations en Europe.

L’ANSSI a également dû se mobiliser davantage lors de la Présidence française du Conseil de l’Union Européenne qui a fait de la France une plus grande cible aux cybermenaces pendant cette Présidence.

Pendant l’année 2022, l’ANSSI a développé de grands axes de lutte contre le risque cyber au niveau national et international. Elle a déployé le plan des CSIRT régionaux, dotant de nombreux territoires d’entreprises compétentes capables de soutenir les TPE/PME en cas de cyberattaques. Elle a également réalisé le premier exercice de crise cyber REMPAR22.

Par ailleurs, elle a rayonné au niveau européen avec l’adoption de NIS 2, en participant au challenge européen de la cybersécurité ou encore en représentant la France lors de l’International Counter Ransomware Initiative.

Nul doute que cette importante dynamique se perpétue pendant l’année 2023.

Consultez l’intégralité du rapport d’activité : Rapport d’activité – ANSSI – 2022

Par un arrêt du 12 janvier 2023, la Cour d’appel de Grenoble prononce la nullité d’un contrat de création d’un site web pour non-conformité à la Loi Informatique et Libertés (LIL).

En l’espèce, une société d’optique a conclu un contrat avec une société de création de site web pour la création d’un site web vitrine, ainsi que pour son installation et sa maintenance. En parallèle la société d’optique s’engage à payer des loyers à la société Leasecom (société de location de financement des équipements des entreprises).

Lorsque la société d’optique a arrêté de payer ses loyers, la société Leasecom l’a assignée devant le Tribunal de commerce qui condamne la société d’optique. Cette dernière interjette appel de cette décision et la Cour d’appel de Grenoble se prononce uniquement au regard du prisme du droit des données personnelles en ce qui concerne le contrat conclu avec le prestataire créateur du site web vitrine.

En effet, la société d’optique reproche au prestataire d’avoir violé les dispositions concernant la collecte et l’utilisation des données personnelles de ses utilisateurs.

Les constats (par huissier) et pris en compte par la Cour d’appel sont les suivants :

• des informations personnelles sur les utilisateurs sont accessibles sans leur information ni consentement,
• des cookies sont déposés sur le terminal de l’utilisateur sans son accord (dont un provenant de Google Analytics),
• le formulaire de contact ne prévoit aucune disposition d’information pour la protection des données personnelles,
• un décalage avec ce qu’affirme la politique de confidentialité qui mentionne qu’aucune données personnelles n’est collectée ni transférée sans un accord préalable,
• un usage par le site des services de Google Analytics considéré comme illégal.

Ainsi, la Cour d’appel considère que le prestataire n’a pas informé la société d’optique d’un élément essentiel concernant le site et la réalisation de la prestation.

De plus, concernant la question de la responsabilité, la Cour estime que la société d’optique, bien que responsable des traitements au sens de la LIL et du RGPD, n’est pas spécialisée en protection des données personnelles et n’a pas les connaissances requises pour constater ces violations lors de la prestation.

La cour retient donc la responsabilité du prestataire informatique qui avait, lui, l’obligation d’informer la société d’optique quant à l’installation illégal de cookies. Elle annule donc le contrat pour erreur sur une qualité essentielle du contrat portant sur le site internet, avant d’infirmer par la même occasion, le jugement du Tribunal de commerce de Grenoble.

Le prestataire informatique est condamné à restituer à la société d’optique le prix de la prestation et lui payer la somme de 5 000 euros sur le fondement de l’article 700 du Code de procédure civile ainsi que les dépens.

Consultez l’intégralité de la décision : 12 janvier 2023 Cour d’appel de Grenoble RG n° 21/03701

Le 2 mars 2023 La Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt répondant aux questions préjudicielles de la Cour Suprême Suédoise sur l’interprétation des articles 5 et 6 du RGPD mis en balance avec l’administration de la preuve dans le cadre d’une procédure juridictionnelle civile.

La Cour retient que l’article 6 du RGPD, dans ses paragraphes 3 et 4 relatifs aux missions d’intérêt public défini par le de l’Union ou par le droit national de l’état membre, s’applique dans le cadre d’une procédure juridictionnelle civile.

De plus, cette procédure juridictionnelle fait partie d’exceptions à laquelle figure (article 23) « la protection de l’indépendance de la justice et des procédures judiciaires », cet objectif devant, ainsi que l’a observé la Commission européenne dans ses observations écrites, être compris comme visant la protection de l’administration de la justice contre des ingérences internes ou externes mais encore la bonne administration de la justice.

En revanche, elle rappelle qu’il est nécessaire d’analyser cette balance et de pondérer aux cas par cas afin de prendre en compte les intérêts de la personne concernée, le principe de minimisation des données et le principe de proportionnalité entre l’administration de la preuve et la protection des données personnelles.

En conclusion, la CJUE fait prévaloir l’administration de la preuve à la protection des données personnelles, si celle-ci est correctement prévue dans le cadre de la législation nationale de l’état membre.

Quelques jours plus tard, le 8 mars, c’est au tour de la Cour de Cassation de rendre une décision similaire.

En effet dans la même veine, la Cour de cassation rappelle que le droit à la protection des données n’est pas un droit absolu et qu’il doit être mis en balance si nécessaire.

De plus le code de procédure civile ainsi que la Convention de sauvegarde des droits de l’homme et des libertés fondamentales prévoient que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi.

Ainsi, la Cour approuve l’arrêt qui ordonne la production de document portant atteinte à la vie personnelle d’autres personnes, après avoir relevé que cette communication était indispensable à l’exercice du droit à la preuve, prenant en compte la minimisation des données en occultant certaines données personnelles non-utile à l’affaire et proportionnée aux buts poursuivis (défense de l’intérêt légitime de la personne concernée dans l’affaire, l’égalité de traitement entre les hommes et les femmes en matière d’emploi et de travail).

Consultez ici les décisions : Cour de cassation, Chambre sociale, 8 mars 2023, 21-12.492 ; ECLI:EU:C:2023:145 ARRÊT DE LA COUR (troisième chambre) 2 mars 2023