Par une décision du 21 octobre 2022, publié au recueil Lebon et sur son site début février, le Conseil d’Etat (CE) dans ses 10e et 9e chambres réunies, rend sa décision relative à la demande, par une DPO, d’annuler une décision de la CNIL rendu en sa défaveur.
En l’espèce, la DPO requiert l’annulation d’une décision de la CNIL du 8 octobre 2021 par laquelle la présidente de la Commission a clôturé sa plainte relative aux conditions d’exercice des fonctions de DPO au sein de sa société et à l’exercice de son droit d’accès à ses données personnelles.
Concernant les reproches de la DPO contre la CNIL, le Conseil d’Etat rappelle dans sa décision les caractéristiques de la Commission ainsi que ses missions notamment son indépendance, son large pouvoir d’appréciation lorsqu’elle doit traiter d’une plainte relative aux droits garantis par la loi à une personne concernée.
La CNIL a donc le pouvoir de décider si elle donne suite à la plainte ou non, sous le contrôle du juge de l’excès de pouvoir.
Concernant l’exercice du droit d’accès à ses données personnelles, le CE confirme l’effectivité nécessaire de ce droit.
Cependant, la décision de la CNIL concernant une plainte fondée sur la méconnaissance d’un tel droit relève d’une décision administrative individuelle défavorable qui doit être nécessairement motivée.
En l’occurrence, la décision de la CNIL, de ne pas donner suite à la plainte de la DPO concernant son droit d’accès, comporte une motivation : « l’énoncé des considérations en droit et en fait qui en constituent le fondement ».
Concernant le non-respect de l’employeur des conditions d’exercice de la fonction de DPO, la décision de la CNIL sur ce point ne revêt les conditions d’une décision administrative individuelle nécessitant une motivation.
Par ailleurs, le Conseil d’Etat rappelle que pour protéger l’indépendance du DPO celui-ci ne doit pas subir une décision qui mettrait fin à ses fonctions, un désavantage ou une sanction lorsque cela serait lié à l’exercice de ses missions.
En revanche, le Conseil d’Etat rappelle bien que ces considérations ne font pas obstacle au licenciement d’un DPO qui « ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».
Ainsi, le Conseil d’Etat confirme que le RGPD, dans son article 38, ne fait pas obstacle au licenciement d’un DPO à « raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ».
Enfin, il confirme que la DPO disposait de moyens et de conditions d’exercice raisonnables pour réaliser ses missions de DPO.
Le Conseil d’Etat décide donc de rejeter la requête de la DPO et la condamne au paiement de 1 000 euros au titre de l’article L .761-1 du code de justice administrative.
Consultez ici la décision du Conseil d’Etat : Décision n°459254 du Conseil d’Etat du 21 octobre 2022
Toujours en pleine négociation avec les Etats-Unis, le sujet des transferts de données vers des pays tiers à l’UE présente encore un enjeu majeur pour le législateur et les autorités de contrôle européennes.
Le 14 février dernier, le CEPD a ainsi adopté deux documents comprenant des Lignes Directrices sur le mécanisme à mettre en œuvre pour opérer des transferts de données personnelles vers un pays tiers ou une organisation internationale.
Le premier document identifie les critères cumulatifs permettant de considérer une opération de traitement comme un transfert :
Lorsque ces critères sont remplis, alors le transfert des données sera soumis aux dispositions du Chapitre V du RGPD (nécessité d’une décision d’adéquation, niveau de protection des données équivalent à celui du RGPD, certifications, …).
Le second document, quant à lui, vient compléter les Lignes Directrices sur les critères de certification, publiées en 2018, et aborde en détails le processus à suivre pour obtenir la certification permettant le transfert de données personnelles vers un pays tiers ou une organisation internationale, conformément au chapitre V du RGPD, à savoir :
Désormais fortement encadrés, les transferts de données personnelles hors UE nécessitent une étude spécifique dans les prochains mois afin d’identifier précisément les éventuels impacts sur vos pratiques.
Consultez ici les Lignes Directrices du CEPD : edpb_guidelines_05-2021-on the interplay between art 3 and chapter V_GDPR ; edpb_guidelines_07_2022-on certification as a tool for tranfers
Le 22 février dernier, la CNIL a remis sur la table le sujet de l’« e-carte Vitale » qui reste bien en évidence sous sa surveillance. Lancée depuis 2019 en tant qu’expérimentation dans 4 départements, le dispositif sera officiellement proposé à tous les assurés sociaux à la fin 2025.
Dans cette perspective, l’expérimentation s’élargie territorialement et se met en place sur toute la France depuis le 1er janvier 2023.
Pour résumer, l’« e-carte Vitale », version dématérialisée du support physique, reste un dispositif facultatif.
Ce dispositif disponible comme application a pour objectif de simplifier l’accès et les droits des personnes concernées en ayant une meilleure gestion de leurs données, documents, remboursements et dépenses de santé. Cet accès permettra également de se connecter à d’autres plateformes d’institutions comme le permet FranceConnect mais cette fois dans le secteur de la santé.
Cette e-carte vitale contiendra des données importantes telles que : remboursements des soins, prises en charge en cas d’hospitalisation, identifications de l’assuré et ses ayants droit (nom, prénom, n° de sécurité sociale, adresse postale, adresse mail).
Le texte encadrant cette expérimentation a fait l’objet de plusieurs avis de la CNIL et globalement la Commission attire l’attention notamment sur les points suivants :
Le projet de déploiement est donc très bien engagé mais reste sous la surveillance de la CNIL qui le rappelle fortement par ce communiqué.
Consultez ici le communiqué de la CNIL : Carte Vitale électronique : quelles conséquences pour les personnes ?
Le 31 janvier, la CNIL a publié un communiqué de presse faisant état de son bilan de l’année 2022. Elle précise à cette occasion que les tendances de 2021 se sont confirmées en 2022.
Pour résumer en quelques chiffres :
-> 21 sanctions prononcées dont 13 rendues publiques
-> manquements fréquents : défaut d’information, non-respect des droits des personnes, défaut de coopération avec la CNIL
-> un tiers des décisions sanctionnent un défaut de sécurisation des données
-> 4 sanctions concernent une mauvaise gestion des cookies
-> 3 sanctions concernent la prospection commerciale
La CNIL met aussi en exergue sa coopération avec ses homologues européens dans plusieurs affaires, notamment l’affaire META
Au cours de l’année 2022, la CNIL a également envoyé de nombreuses mises en demeures (147) pour différents sujets de mise en conformité dont notamment
->obligation de désigner un DPO,
-> prospection commerciale,
-> transmission de données à des partenaires commerciaux,
-> transfert de données vers les Etats-Unis,
-> sécurisation des données,
-> … etc.
Consultez ici le communiqué de la CNIL : la CNIL présente le bilan 2022 de son action répressive
Le 15 décembre 2022, la Cour d’appel de Nîmes a rendu une décision concernant un contrat d’abonnement à un logiciel de télétransmission de feuilles de soins aux caisses et mutuelles dont l’éditeur ne bénéficiait pas de la certification HDS.
En l’espèce, une infirmière libérale ayant souscrit à cet abonnement a constaté que son éditeur ne bénéficiait pas de la certification HDS. En effet, ce dernier sous-traite, depuis plusieurs années, l’hébergement des données à OVH qui n’a reçu que très récemment l’agrément à l’hébergement de données de santé.
L’éditeur du logiciel de télétransmission fonde sa défense sur le fait qu’il n’héberge pas les données de santé mais qu’il les achemine vers une société tierce.
Or, et comme le rappelle la Cour d’appel, d’une part, un éditeur d’un logiciel de télétransmission doit être agréé s’il héberge des données de santé. S’il sous-traite cet hébergement, son sous-traitant doit être lui-même agréé. D’autre part, la Cour déduit que la télétransmission de données de santé est indissociable de leur hébergement sur un support physique de stockage de données.
Par conséquent, l’éditeur devait être en mesure de fournir un hébergement conforme aux règles de protection des données de santé à caractère personnel. Ainsi, la Cour d’appel décide que le contrat est illicite et prononce sa nullité.
Cette décision ayant pour effet d’obliger l’éditeur à rembourser à l’utilisateur l’intégralité des redevances qu’il a perçues, nous ne saurons que trop recommander aux OCAM et à leurs différents sous-traitants (concentrateurs TP, sociétés de Cloud, gestionnaires délégués, …) de vérifier la qualification HDS des plateformes de stockage auxquelles ils ont recours.
En effet, cette décision interroge sur les possibilités de remise en cause des différentes conventions qui peuvent être conclues à l’occasion d’une opération d’assurance santé y compris les contrats d’assurance eux-mêmes.
Consultez ici l’intégralité de la décision : CA Nîmes, 15 décembre 2022, n°21/01215
Par un communiqué du 24 janvier dernier, l’ANSSI a publié son panorama sur les grandes tendances de la menace cyber pendant l’année 2022. Nous pourrons y constater notamment :
-> la poursuite de la convergence des outils et technique des différents profils d’attaquant ainsi que l’évolution de leur ciblage, notamment le ciblage des équipements périphériques ;
-> la propagation de la menace par rançongiciel, notamment contre les TPE, PME (40 % ), les collectivité territoriales (23 %) et les établissements publics de santé (10 %) ;
-> l’augmentation des attaques par sabotage informatique en lien avec l’invasion russe de l’Ukraine;
-> le maintien de différentes faiblesses dans la sécurisation des données, notamment en cas d’externalisation des services auprès des entreprises de services numériques, laquelle n’est pas accompagnée par des clauses de cyber sécurité adaptées. Ce qui augmente l’opportunité de menaces informatiques ;
-> le rappel aux organismes publics et privés de prendre le risque cyber au juste niveau et d’adopter les bonnes mesures pour se protéger contre ce risque. Il s’agit notamment de la mise à jour du guide d’hygiène informatique, de la sensibilisation du personnel sur ce risque et du développement de capacités de détection et de traitement d’incident permettant de se prémunir des menaces les plus courantes.
Consultez ici l’intégralité du document : ANSSI : Panorama de la Cybermenace 2022
