Le 27 octobre dernier, l’Union Européenne a eu le plaisir d’enfin publier dans son JO l’adoption officielle du Digital Services Act (DSA). En effet, ce projet de règlement ait débattu et travaillé depuis fin 2020, il a été adopté par le Parlement européenne courant été 2022, il a été enfin approuvé par le Conseil de l’UE début du mois d’octobre et publié au JO ce 27 octobre. Ce texte vient remplacer la directive e-commerce du 8 juin 2000.

Ce texte vient compléter le Digital Market Act (DMA) qui s’attaque à la régulation des marchés numériques. Le DSA, quant à lui, réglemente la responsabilité des plateformes numériques pour lutter contre les contenus, services et produits illicites en ligne.

Ce règlement ambitieux souhaite, plus précisément, protéger les internautes et consommateurs européens, encourager et développer les petites entreprises de l’union peu visible dans l’ombre des multinationales, responsabiliser les grandes plateformes et diminuer les risques de désinformation.

Le DSA concerne divers acteurs et intermédiaires ainsi que leurs produits et services en ligne. Sont notamment soumis aux règles du DSA, les FAI, les entreprises du Cloud, les market places et e-shop, les très grandes plateformes et moteurs de recherche.

Les mesures principales sont les suivantes :

-lutte contre les contenus illicites: ces dispositions doivent responsabiliser les grandes plateformes et boutiques en ligne. En effet, les mécanismes de signalements de contenus illicites deviennent obligatoires et doivent être très accessibles ;

-lutte contre les contenus illicites: création des « signaleurs de confiance », des entreprises ou institutions nationales dont les signalements devront être traités en priorités par les plateformes ;

-transparence en ligne: ces dispositions obligent les plateformes à expliquer les algorithmes utilisés pour la publicité et les recommandations, elles doivent proposer un système de recommandation sans profilage, elles ne peuvent plus réaliser de publicité ciblée pour les mineurs, …

-sécurité en ligne: certains acteurs nommés par la Commission européenne seront soumis à des obligations supplémentaires comme l’analyse des risques systémique que leurs plateformes génèrent (haine, violence, droits, discours civiques, élections, …), la réalisation d’audits indépendants de réduction des risques, l’autorisation d’accès à des données clés de leurs interfaces aux chercheurs et scientifiques, etc.

Enfin, pour le respect de ce texte, vont être mis en place des coordinateurs des services numériques qui seront des autorités indépendantes désignées par chaque état membre. En France, cette autorité indépendante correspond à celle des médias, l’ARCOM.

Les très grandes plateformes, entreprises et moteurs de recherche seront également contrôlées par la Commission européenne. En cas de graves manquements ou violations à ce règlement, les acteurs concernés peuvent se voir sanctionner par des amendes (jusqu’à 6% du chiffre d’affaires mondial) ou même une interdiction d’exercer leurs activités sur le marché européen.

Consultez l’intégralité du Règlement : règlement (UE) 2022/2065 du parlement européen, et du conseil du 19 octobre 2022 relatif au marché unique des services numériques

C’est une importante publication que nous propose la CNIL depuis le 17 octobre dernier. En effet, à la suite d’une délibération en juillet dernier adoptant cette nouvelle recommandation et abrogeant l’ancienne délibération de 2017 sur les mots de passe ; elle la publie ce mois-ci dans un communiqué accompagné d’outils pratiques pour s’adapter à ses nouveaux conseils.

Malgré le fait qu’elle reconnaisse et recommande les solutions d’authentification forte ou à plusieurs facteurs, fournissant une meilleure protection, le mot de passe est le moyen d’authentification le plus répandu et le plus faible au niveau sécurité.

C’est dans un contexte de menaces accrues sur la sécurité des données, que la CNIL a estimé nécessaire une actualisation de sa recommandation de 2017 avec l’aide précieuse des professionnels et des particuliers de par la consultation publique analysée pour cette nouvelle recommandation.

Dans son communiqué, la CNIL exprime clairement les changements notables par rapport à la recommandation de 2017, en effet, les évolutions suivantes sont à noter :

-la complexité du mot de passe repose sur son « entropie » et non plus sur sa longueur;

-le retrait du cas d’usage : une information secrète pour diminuer les exigences de sécurité sur le mot de passe;

-l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (les comptes privilèges ou administrateurs, y restent soumis) ;

-la rédaction d’une liste de mots de passe complexes à éviter car connus ;

-des bonnes pratiques sur les règles de création et de renouvellement pour garantir un niveau de sécurité fiable et pérenne.

La CNIL développe ensuite sa stratégie actuelle et future quant à l’authentification. D’abord, elle définit et développe « l’entropie » actuelle, c’est-à-dire « la quantité de hasard » ou « son degré d’imprédictibilité théorique ».

Puis, elle définit et développe la notion future de « devinabilité » relative à une nouvelle approche pour déterminer la robustesse d’un mot de passe en évaluant dynamiquement la résistance de celui-ci et non le respect de la politique de mots de passe mise en place.

Enfin, même si cette recommandation n’est pas une norme, la CNIL rappelle qu’elle correspond à l’état de l’art sur lequel le responsable de traitement peut s’appuyer quand il utilise et met en place une authentification par mot de passe.

Ainsi, elle recommande également d’autres mécanismes plus sécurisés comme l’authentification à double facteur ou les certificats électroniques. En tout état de cause, la CNIL recommande le guide de l’ANSSI sur ce sujet, grâce auquel elle peut proposer un tableau de correspondance avec sa propre recommandation.

Consultez ici l’intégralité de l’article et les outils de la CNIL :  Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité ; délibération n°2022-100 du 21 juillet 2022 ; Recommandation de la CNIL sur les mdp – tableau de correspondance ; Recommandations relatives à l’authentification multifacteur et aux mots de passe (ANSSI)

Pour rappel, la CNIL avait, en novembre 2021, publié un référentiel sur les entrepôts de données de santé. Celui-ci permet aux organismes souhaitant mettre en place un tel entrepôt conforme au référentiel, de ne pas devoir demander une autorisation préalable auprès de la CNIL.

Pour simplifier la démarche, la CNIL devait valider le projet d’entrepôt par rapport au référentiel puis l’organisme peut se déclarer officiellement en conformité.

Cette année, fin septembre, la CNIL enrichit cet outil d’une « check-list » de conformité au référentiel. Elle a pour objectif d’aider le responsable de traitement à vérifier sa conformité au référentiel. Cette check-list fonctionne par affirmations, auxquelles le responsable de traitement doit répondre par Vrai ou Faux.

Si le traitement ne répond pas entièrement aux exigences du référentiel, il doit faire l’objet d’une autorisation spécifique de la CNIL, pour être mis en place.

Consultez ici l’intégralité des documents : Entrepôts de données de santé : la CNIL publie une « check-list » de conformité à son référentiel ; check-list-conformité-référentiel-entrepôt-données

Pour mémoire, l’article 46 du RGPD exige des responsables de traitement qui effectuent des transferts des données vers un pays tiers à l’Espace Économique Européen ou vers une organisation internationale, de prendre toutes mesures appropriées afin d’assurer la sécurité des données transférées.

Afin de répondre au mieux à ces exigences et de diversifier les moyens de protection de ces données, le RGPD a prévu la mise en place d’un mécanisme de certification, selon lequel un organisme atteste que le transfert des données en dehors de l’EEE présente un niveau de protection équivalent à celui mis en œuvre par le RGPD.

C’est dans ce contexte que le comité européen de la protection des données a publié le 16 juin dernier, des nouvelles lignes directrices dans l’objectif de clarifier l’utilisation de ce mécanisme de certification.

Ces lignes directrices, dans lesquelles la CNIL a été co-rapporteur, viennent en complément de celles n° 4/2018 relatives à l’agrément des organismes de certification. Elles sont réparties en quatre thèmes :

* des précisions supplémentaires sur les lignes directrices 1/2018 relatives aux critères de certification et sur le rôle des personnes impliquées dans le processus de transfert. Le CEPD rappelle par ailleurs qu’il est possible de mettre en place d’autre mesures à coté de la certification pour assurer la sécurité du transfert;

* des conseils détaillés sur les exigences relatives à l’autorisation des organismes de certification ;

* des critères supplémentaires devant être inclus dans les mécanismes de certification, tels que l’évaluation de la législation du pays tiers, les actions à prendre par l’exportateur et le destinataire, dans le cas où la législation du pays tiers, empêche les responsables de traitement de mettre en œuvre leurs obligations de conformité avec le RGPD ;

* des précisions sur les éléments que doivent apportés les responsables de traitements non soumis au RGPD dans le but de démontrer l’existence de garanties appropriées pour les transferts.

Par ailleurs, ces lignes directrices sont suivies par une annexe contenant les recommandations n° 1/2020 sur les mesures supplémentaires à prendre en compte lors du transfert des données.

Ayant été adoptées en version liminaire, ces lignes directrices sont actuellement soumises à consultation publique qui prendra fin le 30 septembre prochain.

Consultez ici l’intégralité des lignes directrices en anglais : Guidelines 07/2022 on certification as a tool for transfers, Version 1.0, Adopted on 14 June 2022

Voilà près d’un an, la Commission européenne rendait deux décisions d’exécution relatives à de nouvelles clauses contractuelles types dont tout professionnel peut se saisir pour les insérer dans ses contrats :

• les premières visant à préciser les modalités de la relation contractuelle entre le responsable de traitement et le sous-traitant entrées en vigueur le 27 juin 2021;
• les secondes concernant le transfert des données à caractère personnel vers des pays tiers, entrées en vigueur le 27 septembre 2021.

Pour mémoire, rappelons, en outre, que s’agissant de ces dernières, il n’est plus possible, depuis le 27 septembre 2021, de conclure des contrats incorporant les anciennes clauses contractuelles types et que pour les contrats en cours à cette date, ils doivent être mis en conformité avec les nouvelles rédactions au plus tard à effet du 28 décembre 2022.

Aussi, s’appuyant sur les différents retours d’expérience qui lui sont parvenus concernant l’utilisation de ces nouvelles clauses, la Commission européenne a publié le 25 mai dernier un document sous forme de questions-réponses visant à aider les parties prenantes dans leurs efforts de mise en conformité.

Ce document, qui ne comprend pas moins de 44 questions, fournit ainsi des orientations pratiques sur l’utilisation des clauses et sur le contexte dans lequel elles sont susceptibles de s’inscrire.

Il est par conséquent fortement recommandé de s’en saisir, en particulier si vous utilisez les services d’un prestataire qui héberge vos données en dehors de l’UE, ou que vous faites appel à une tierce maintenance depuis un pays hors UE.

Consultez ici l’intégralité du document (en anglais) : Questions and Answers for the two sets of Standard Contractual Clauses (25 mai 2022)