Par un communiqué du 24 janvier dernier, l’ANSSI a publié son panorama sur les grandes tendances de la menace cyber pendant l’année 2022. Nous pourrons y constater notamment :

-> la poursuite de la convergence des outils et technique des différents profils d’attaquant ainsi que l’évolution de leur ciblage, notamment le ciblage des équipements périphériques ;

-> la propagation de la menace par rançongiciel, notamment contre les TPE, PME (40 % ), les collectivité territoriales (23 %) et les établissements publics de santé (10 %) ;

-> l’augmentation des attaques par sabotage informatique en lien avec l’invasion russe de l’Ukraine;

-> le maintien de différentes faiblesses dans la sécurisation des données, notamment en cas d’externalisation des services auprès des entreprises de services numériques, laquelle n’est pas accompagnée par des clauses de cyber sécurité adaptées. Ce qui augmente l’opportunité de menaces informatiques ;

-> le rappel aux organismes publics et privés de prendre le risque cyber au juste niveau et d’adopter les bonnes mesures pour se protéger contre ce risque. Il s’agit notamment de la mise à jour du guide d’hygiène informatique, de la sensibilisation du personnel sur ce risque et du développement de capacités de détection et de traitement d’incident permettant de se prémunir des menaces les plus courantes.

Consultez ici l’intégralité du document : ANSSI : Panorama de la Cybermenace 2022

Saisie par la Cour fédérale de la justice allemande, la CJUE a rendu, le 8 décembre dernier, une décision contre Google concernant le droit à la protection des données personnelles, plus particulièrement sur le droit à l’oubli.

L’affaire concerne le recours fait par deux dirigeants d’une société contre Google afin de :

• déréférencer certains résultats de recherches effectués à partir de leurs noms et comportant des critiques sur le modèle d’investissement de leur société, aux motifs que les informations y sont incluses sont inexactes ;
• supprimer des photos d’eux de la liste des résultats d’une recherche d’images à partir de leurs noms.

Ces demandes avaient été refusées par Google, laquelle prétend son ignorance du caractère exact ou inexact des informations référencées d’une part, et le contexte professionnel dans lequel ces informations sont inscrites d’autre part.

C’est ainsi que la Cour fédérale allemande, saisie du litige, a demandé à la CJUE d’interpréter les dispositions du RGPD relatives au droit à l’oubli et celles de la directive sur la protection des données personnelles des personnes physiques à la lumière de la charte des Droit fondamentaux de l’Union Européenne.

Ainsi, la CJUE va tout d’abord rappeler que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux comme le droit à la liberté d’expression et ce, conformément au principe de proportionnalité.

Cependant, cette liberté d’expression ne peut pas être prise en compte lorsque les informations référencées sont inexactes.

La Cour redéfinit ensuite les obligations des demandeurs de déréférencement pour inexactitude d’informations d’une part, et celles du moteur de recherche d’autre part. Le requérant devra ainsi :

• établir l’inexactitude manifeste des informations ou d’une partie de celles-ci ;
• prouver que les informations ou la partie de celles-ci n’est pas d’importance mineure;
• fournir uniquement les éléments de preuve qu’il peut lui être raisonnablement exigé de chercher

Le moteur de recherche, quant à lui, est dans l’obligation de faire droit à la demande de déréférencement, lorsque le requérant fourni des « éléments de preuve pertinents et suffisants, aptes à étayer sa demande et établissant le caractère manifestement inexact des informations ».

Néanmoins, la Cour précise que le moteur de recherche n’a pas à jouer un rôle actif dans la recherche des éléments de preuve de l’inexactitude et qu’il doit se fonder sur l’ensemble des droits, des intérêts en présence et des circonstances du cas d’espèces pour prendre sa décision au regard de la demande de déréférencement.

Consultez ici le communiqué de la CJUE : Droit à l’effacement (« droit à l’oubli ») : l’exploitant du moteur de recherche doit déréférencer des informations figurant dans le contenu référencé lorsque le demandeur prouve qu’elles sont manifestement inexactes ; ARRÊT DE LA COUR (grande chambre)-8 décembre 2022

Le 14 novembre dernier, le CEPD a adopté une mise à jour de ses recommandations relatives aux règles d’entreprises contraignantes « responsable de traitement ou BCR-C ; en ce mois de décembre la CNIL se saisi du sujet et revient sur ce référentiel actualisé.

Pour mémoire, les BCR (outils issus du RGPD) sont des règles applicables aux entités d’un même groupe qui ne situeraient pas toutes dans l’Union Européenne et qui se transfèrent entre elles des données personnelles. Ainsi, ces BCR permettent de garantir un niveau de protection des données personnelles dans toutes les entités du groupe même en dehors de l’Union Européenne.

La CNIL rappelle dans son communiqué que les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires et engagent les entités du groupe à garantir un niveau de protection équivalent à celui imposé par le RGPD.

L’actualisation réalisée en cette fin d’année concerne plus particulièrement le référentiel d’approbation des BCR « responsable de traitement » et le formulaire d’instruction présenté aux autorités de protection.

Les mises à jour adoptées concernant notamment :

• la clarification des exigences du référentiel,
• l’ajout d’orientations supplémentaires pour une meilleure compréhension des attentes des autorités de contrôle,
• la distinction entre le contenu du corps textuel des BCR et celui du dossier d’instruction présenté aux autorités,
• la prise en compte de l’arrêt « Schrems II » de la Cour de Justice de l’Union Européenne (CJUE),
• l’ajout de l’obligation d’analyser la législation du pays tiers de destination,
• la prise en compte des nouvelles Clauses Contractuelles Types (CCT).

Le CEPD est également en train de revoir les BCR « sous-traitant » qui seront sans doute bientôt adoptées.

Consultez ici le communiqué de la CNIL : Le CEPD met à jour le référentiel BCR « responsable de traitement »

Le 24 novembre dernier, la CNIL a sanctionné lourdement l’entreprise EDF par une amende de 600 000 euros. En effet, un contrôle a été réalisé à la suite de diverses plaintes de personnes concernées qui n’obtenaient pas satisfaction dans l’exercice de leurs droits. Pendant ce contrôle, elle a ainsi constaté plusieurs manquements aux exigences du RGPD.

Le premier manquement retenu concerne l’obligation de recueillir le consentement des personnes concernées (BtoC) pour recevoir de la prospection commerciale (articles L.34-5 du Code des postes et des communications électroniques ou CPCE et 7 du RGPD). La CNIL a en effet constaté que lors de campagnes de prospection par courriel, l’entreprise n’était pas en mesure de prouver qu’elle avait obtenu préalablement le consentement des destinataires.

Pour sa prospection commerciale, l’entreprise fait appel à des data brokers, des entreprises de courtiers de données. Pour démontrer sa conformité, EDF a produit deux formulaires de collecte de données de prospects mais elle n’a pas été en mesure d’expliquer et de lister ses partenaires auxquelles ces données peuvent être communiqués.

De plus, concernant ces courtiers de données, la CNIL estime qu’EDF aurait dû auditer les data brokers et vérifier auprès des courtiers, que le recueil des consentements était valablement réalisé.

Un second manquement concerne le manque d’informations et de respect des droits des personnes concernées (articles 12 à 14 et 21 du RGPD). En effet, la CNIL a constaté que l’information sur le site internet de l’entreprise était imprécise sur les durées de conservation, qu’il manquait la base légale pour les usages des données personnelles, ainsi que la source claire et précise des données personnelles pour la prospection commerciale.

Concernant les droits des personnes concernées, il est reproché à EDF de ne pas avoir tenu les délais de réponse aux personnes exerçant leurs droits d’accès et/ou d’opposition.

Enfin, le dernier manquement retenu est celui du non-respect de l’article 32 du RGPD concernant la sécurisation des données. La CNIL a en effet constaté que les mots de passe n’étaient pas suffisamment sécurisés.

Pour conclure, malgré la mise en conformité rapide de l’entreprise sur plusieurs manquements, la CNIL estime qu’au regard de l’importance de l’entreprise sur le marché français, elle aurait dû mettre les moyens nécessaires à sa conformité à la législation nationale et européenne en matière de protection des données.

Consultez ici le communiqué et la délibération de la CNIL : Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF ; Délibération SAN-2022-021 du 24 novembre 2022

Par sa décision n°2022-1016 du 21 octobre dernier, le Conseil constitutionnel juge conformes à la Constitution, les dispositions permettant à l’administration d’enjoindre le déréférencement d’adresses électroniques des interfaces sur lesquelles ont été constatées des contenus manifestement illicites.

Ce sont les dispositions de l’article L.521-3-1 du Code de la consommation, issu de la loi n°2020-1508 du 3 décembre 2020 qui permet à l’autorité administrative chargée de la concurrence et de la consommation, de prendre des mesures pour faire cesser des pratiques commerciales frauduleuses commises à partir d’une interface en ligne.

Elle peut notamment, « enjoindre aux opérateurs de plateforme en ligne de procéder au déréférencement des adresses électroniques des interfaces en ligne dont les contenus présentent un caractère illicite ».

La société requérante reproche aux dispositions de donner à l’administration un tel pouvoir sans subordonner cette mesure à un juge, ni prévoir qu’elle serait limitée dans le temps ou porterait sur les seuls contenus présentant un caractère manifestement illicite.

Ainsi, la société requérante, estime que ces dispositions portent atteinte à la liberté d’expression et de communication et à la liberté d’entreprendre.

Au premier grief concernant l’atteinte porté à la liberté d’expression et de communication, le Conseil reconnaît que le législateur peut édicter des règles limitant ce droit pour faire cesser un abus qui porterait atteinte à l’ordre public et aux droits des tiers.

Ainsi, le Conseil considère qu’en adoptant les dispositions contestées le législateur a agit dans l’intérêt général pour protéger les consommateurs et assurer la loyauté des transactions commerciales en ligne.

Par ailleurs, le déréférencement n’empêche pas l’accès aux sites ou applications, ils restent accessibles, mais ne sont juste plus référencés. De plus, cette mesure ne peut être prononcée :

-qu’en cas de pratiques caractérisant certaines infractions précises,

-si l’auteur de la pratique a été identifié,

-sous le contrôle du juge qui doit s’assurer de la proportionnalité de la mesure ainsi que de son étendue.

Pour ces motifs, le Conseil constitutionnel juge que le grief issu de l’atteinte porté à la liberté d’expression et de communication doit être écarté.

Au second grief tiré de l’atteinte porté à la liberté d’entreprendre, le Conseil constitutionnel utilise les mêmes motifs pour écarter ce dernier.

Dans sa décision, le Conseil constitutionnel rappelle, tout de même, que l’autorité administrative ne peut pas imposer aux opérateurs, un délai inférieur à 48 heures pour rendre effectif le déréférencement. Cela signifie que toute personne concernée a donc le temps de contester utilement la décision par le recours en référé.

Consultez ici l’intégralité du communiqué et la décision : Décision n° 2022-1016 QPC du 21 octobre 2022 – Communiqué de presse ; Décision n° 2022-1016 QPC du 21 octobre 2022