Par une délibération du 11 mai 2023, la CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.

A noter que l’amende a été prise en coopération avec l’ensemble de ses homologues européens compte tenu du fait que le site web de la société a des utilisateurs dans toute l’Europe.

Au titre des manquements reprochés, la CNIL a en effet relevé que :

• les durées de conservation des données issues des tests réalisés en ligne par les internautes, susceptibles de comprendre des données en lien avec la santé, étaient excessives compte tenu du strict besoin de la société pour les exploiter et en livrer les résultats ;
• aucun avertissement particulier, ni mécanisme de recueil du consentement sur les tests en ligne, alors même qu’ils collectaient des données de santé considérées comme particulièrement sensibles au regard du RGPD, n’était mis en place ;
• la relation contractuelle avec les responsables conjoints de traitement des données n’était pas formalisée dans un document autonome alors même ce document est exigé pour répartir les obligations de chacun ;
• la sécurisation des données traitées et des mots de passe des utilisateurs était défaillante.

A titre « accessoire », la CNIL a également relevé des manquements de la société à ses obligations liées à l’utilisation des cookies.

Parce que les données de santé sont des données personnelles particulières, considérées comme sensibles, elles font à ce titre l’objet d’une protection particulière par le RGPD, mais aussi par la Loi Informatique et Libertés et le Code de la santé publique, ceci de garantir le respect de la vie privée des personnes. Aussi, la présente sanction n’est donc pas surprenante.

Le rapport annuel d’activité de la CNIL pour 2022 récemment publié montre d’ailleurs toute l’attention particulière que la Commission apporte au traitement de ce type de données personnelles.

Consultez ici l’intégralité des documents : Délibération de la formation restreinte n° SAN-2023-006 du 11 mai 2023 concernant la société Doctissimo ; Rapport annuel d’activité de la CNIL pour 2022

A la question : l’exercice par la personne concernée du droit d’accès à ses données personnelles traitées oblige-t-il le responsable de traitement à lui communiquer une copie fidèle de l’ensemble des informations et documents en sa possession qui comportent ces données ?

Dans un arrêt récent, la Cour de justice de l’UE répond OUI !

En effet, si elle ne reconnait pas le droit d’obtenir une copie des données, ainsi que le prévoit l’article 15 §3 du RGPD, comme un droit distinct de celui de pouvoir y accéder, elle précise cependant que :

• le droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ;
• ce droit d’accès est en outre nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, les autres droits qu’elle détient en vertu du règlement (rectification, effacement, limitation du traitement, opposition…) ;
• partant, la copie des données à caractère personnel faisant l’objet d’un traitement doit donc présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits et doit par conséquent reproduire intégralement et fidèlement ces données.

En conclusion : le droit pour la personne concernée d’obtenir de la part du responsable du traitement une copie de ses données à caractère personnel faisant l’objet d’un traitement, dans le cadre de l’exercice de son droit d’accès, implique qu’il lui soit remis une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui peut nécessiter de lui communiquer la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, dès lors que la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD.

Consultez ici l’intégralité du document : CJUE, 4 mai 2023, affaire C-487/21

Facebook, par le biais de sa filiale Meta Platforms Ireland Limited (Meta IE), a été sévèrement sanctionné par une amende de 1,2 milliard d’euros, suite à des pratiques illégales de transfert de données personnelles vers les États-Unis. Le Comité européen de protection des données (CEPD) a dénoncé cette infraction grave et a ordonné à Facebook de mettre fin à ses pratiques non conformes au RGPD.

Dans une décision sans appel rendue le 13 avril 2023, le CEPD a conclu que Meta IE avait délibérément enfreint les règles de protection des données en transférant massivement et de manière récurrente des données personnelles vers les États-Unis depuis le 16 juillet 2020, en utilisant des clauses contractuelles types (CCT). En conséquence, Facebook a été frappé d’une amende sans précédent de 1,2 milliard d’euros par l’autorité irlandaise de protection des données, qui est compétente en tant qu’autorité de contrôle principale.

Andrea Jelinek, présidente du CEPD, a souligné la gravité de cette infraction en déclarant que Facebook compte des millions d’utilisateurs en Europe et que le volume de données personnelles transférées est colossal. Cette amende record a pour objectif d’envoyer un message fort aux entreprises, les avertissant des conséquences sévères qui les attendent en cas de violations graves des règles de protection des données.

En plus de l’amende, Facebook est contraint de se conformer au RGPD en révisant ses pratiques de transfert de données. L’autorité irlandaise de protection des données a reçu pour mission de revoir sa décision initiale afin de refléter cette sanction. Facebook devra cesser immédiatement tout traitement illégal de données, y compris le stockage aux États-Unis, en violation flagrante du RGPD, dans un délai de 6 mois à compter de la notification de la décision finale.

Il est important de souligner que la décision de l’autorité irlandaise repose sur l’avis juridique du CEPD, qui avait émis une décision contraignante après que plusieurs autorités de contrôle européennes aient exprimé leurs objections quant aux transferts illégaux de données effectués par Facebook. Certaines de ces autorités avaient même réclamé des sanctions financières supplémentaires et des injonctions pour obliger Facebook à se conformer aux règles de protection des données.

Cette amende record infligée à Facebook met en lumière la nécessité pour les géants technologiques de respecter les droits fondamentaux des utilisateurs et de se conformer scrupuleusement aux dispositions du RGPD en matière de transferts de données.

Il s’agit d’un avertissement sans équivoque adressé à toutes les entreprises du secteur, les enjoignant de se plier aux lois en vigueur pour préserver la confidentialité et la sécurité des données personnelles des utilisateurs européens.

Consultez ici l’intégralité de la décision en anglais : Decision-12thmay2023-DPC

A la question : l’exercice par la personne concernée du droit d’accès à ses données personnelles traitées oblige-t-il le responsable de traitement à lui communiquer une copie fidèle de l’ensemble des informations et documents en sa possession qui comportent ces données ?

Dans un arrêt récent, la Cour de justice de l’UE répond OUI !

En effet, si elle ne reconnait pas le droit d’obtenir une copie des données, ainsi que le prévoit l’article 15 §3 du RGPD, comme un droit distinct de celui de pouvoir y accéder, elle précise cependant que :

• le droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ;
• ce droit d’accès est en outre nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, les autres droits qu’elle détient en vertu du règlement (rectification, effacement, limitation du traitement, opposition…) ;
• partant, la copie des données à caractère personnel faisant l’objet d’un traitement doit donc présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits et doit par conséquent reproduire intégralement et fidèlement ces données.

En conclusion : le droit pour la personne concernée d’obtenir de la part du responsable du traitement une copie de ses données à caractère personnel faisant l’objet d’un traitement, dans le cadre de l’exercice de son droit d’accès, implique qu’il lui soit remis une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui peut nécessiter de lui communiquer la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, dès lors que la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD.

Consultez ici l’intégralité du document : CJUE, 4 mai 2023, affaire C-487/21

Le projet de fusion entre la carte d’identité et la carte Vitale pour combattre la fraude sociale suscite des inquiétudes quant à la protection des données personnelles. Malgré les recommandations de la CNIL, le gouvernement persiste malgré tout dans cette voie, suscitant des interrogations sur les risques potentiels et les alternatives non explorées.

Le ministre des Comptes publics a en effet récemment annoncé un projet de fusion de la carte d’identité et de la carte Vitale afin de lutter contre la fraude sociale dans le domaine des prestations de soins. Cependant, cette initiative soulève de sérieuses préoccupations de la part de la CNIL en matière de protection des données personnelles.

Dans une lettre datée du 13 mars dernier, la CNIL a rappelé que le numéro de sécurité sociale (NIR) est une donnée hautement sensible, propre à chaque citoyen français. Elle a souligné la nécessité d’une évaluation minutieuse de la fraude sociale et de l’adoption de réponses proportionnées et efficaces. Malgré ces mises en garde, le gouvernement a néanmoins opté pour l’intégration du NIR dans la carte d’identité électronique, un choix qui, selon la CNIL, présente toutefois le moins de risques et d’intrusions au regard des divers scénarios proposés.

La CNIL a formulé plusieurs recommandations pour garantir la protection des données personnelles. Elle insiste sur la nécessité de cloisonner le NIR dans un compartiment sécurisé de la puce électronique de la carte d’identité, accessible uniquement aux acteurs médicaux et médico-sociaux. De plus, des mesures de sécurité supplémentaires doivent être mises en place pour éviter toute divulgation du NIR à des tiers non autorisés.

Cependant, la CNIL reste sceptique quant à l’utilisation d’une carte Vitale biométrique. Elle souligne les difficultés de déploiement chez les professionnels de santé, les risques liés à la sensibilité des données et les menaces potentielles d’attaques informatiques visant à obtenir les données biométriques des assurés sociaux. De plus, l’utilisation d’une telle carte pourrait compromettre les délégations de la carte Vitale, affectant ainsi la prise en charge de certaines personnes.

Cette initiative soulève également des inquiétudes quant à la protection des droits individuels et à la vie privée des citoyens. La CNIL insiste sur la nécessité de préserver le choix des assurés sociaux de ne pas inscrire leur numéro de sécurité sociale sur leur carte d’identité et de maintenir des alternatives à l’utilisation de la carte d’identité.

Consultez ici le communiqué de la CNIL : Les points d’attention de la CNIL concernant la protection des données

Ce mois d’Avril a été marqué par la publication de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) qui, comme tous les ans, rédige un rapport d’activité sur l’exercice écoulé.

Concernant l’année 2022, il est primordial de rappeler l’influence du contexte européen et international sur l’environnement cyber. En effet, l’ANSSI reconnait que son activité durant l’année 2022 a été grandement impactée par l’invasion russe de l’Ukraine qui a permis de multiplier les actions de déstabilisations en Europe.

L’ANSSI a également dû se mobiliser davantage lors de la Présidence française du Conseil de l’Union Européenne qui a fait de la France une plus grande cible aux cybermenaces pendant cette Présidence.

Pendant l’année 2022, l’ANSSI a développé de grands axes de lutte contre le risque cyber au niveau national et international. Elle a déployé le plan des CSIRT régionaux, dotant de nombreux territoires d’entreprises compétentes capables de soutenir les TPE/PME en cas de cyberattaques. Elle a également réalisé le premier exercice de crise cyber REMPAR22.

Par ailleurs, elle a rayonné au niveau européen avec l’adoption de NIS 2, en participant au challenge européen de la cybersécurité ou encore en représentant la France lors de l’International Counter Ransomware Initiative.

Nul doute que cette importante dynamique se perpétue pendant l’année 2023.

Consultez l’intégralité du rapport d’activité : Rapport d’activité – ANSSI – 2022