Pour rappel, la CNIL avait, en novembre 2021, publié un référentiel sur les entrepôts de données de santé. Celui-ci permet aux organismes souhaitant mettre en place un tel entrepôt conforme au référentiel, de ne pas devoir demander une autorisation préalable auprès de la CNIL.

Pour simplifier la démarche, la CNIL devait valider le projet d’entrepôt par rapport au référentiel puis l’organisme peut se déclarer officiellement en conformité.

Cette année, fin septembre, la CNIL enrichit cet outil d’une « check-list » de conformité au référentiel. Elle a pour objectif d’aider le responsable de traitement à vérifier sa conformité au référentiel. Cette check-list fonctionne par affirmations, auxquelles le responsable de traitement doit répondre par Vrai ou Faux.

Si le traitement ne répond pas entièrement aux exigences du référentiel, il doit faire l’objet d’une autorisation spécifique de la CNIL, pour être mis en place.

Consultez ici l’intégralité des documents : Entrepôts de données de santé : la CNIL publie une « check-list » de conformité à son référentiel ; check-list-conformité-référentiel-entrepôt-données

Pour mémoire, l’article 46 du RGPD exige des responsables de traitement qui effectuent des transferts des données vers un pays tiers à l’Espace Économique Européen ou vers une organisation internationale, de prendre toutes mesures appropriées afin d’assurer la sécurité des données transférées.

Afin de répondre au mieux à ces exigences et de diversifier les moyens de protection de ces données, le RGPD a prévu la mise en place d’un mécanisme de certification, selon lequel un organisme atteste que le transfert des données en dehors de l’EEE présente un niveau de protection équivalent à celui mis en œuvre par le RGPD.

C’est dans ce contexte que le comité européen de la protection des données a publié le 16 juin dernier, des nouvelles lignes directrices dans l’objectif de clarifier l’utilisation de ce mécanisme de certification.

Ces lignes directrices, dans lesquelles la CNIL a été co-rapporteur, viennent en complément de celles n° 4/2018 relatives à l’agrément des organismes de certification. Elles sont réparties en quatre thèmes :

* des précisions supplémentaires sur les lignes directrices 1/2018 relatives aux critères de certification et sur le rôle des personnes impliquées dans le processus de transfert. Le CEPD rappelle par ailleurs qu’il est possible de mettre en place d’autre mesures à coté de la certification pour assurer la sécurité du transfert;

* des conseils détaillés sur les exigences relatives à l’autorisation des organismes de certification ;

* des critères supplémentaires devant être inclus dans les mécanismes de certification, tels que l’évaluation de la législation du pays tiers, les actions à prendre par l’exportateur et le destinataire, dans le cas où la législation du pays tiers, empêche les responsables de traitement de mettre en œuvre leurs obligations de conformité avec le RGPD ;

* des précisions sur les éléments que doivent apportés les responsables de traitements non soumis au RGPD dans le but de démontrer l’existence de garanties appropriées pour les transferts.

Par ailleurs, ces lignes directrices sont suivies par une annexe contenant les recommandations n° 1/2020 sur les mesures supplémentaires à prendre en compte lors du transfert des données.

Ayant été adoptées en version liminaire, ces lignes directrices sont actuellement soumises à consultation publique qui prendra fin le 30 septembre prochain.

Consultez ici l’intégralité des lignes directrices en anglais : Guidelines 07/2022 on certification as a tool for transfers, Version 1.0, Adopted on 14 June 2022

Voilà près d’un an, la Commission européenne rendait deux décisions d’exécution relatives à de nouvelles clauses contractuelles types dont tout professionnel peut se saisir pour les insérer dans ses contrats :

• les premières visant à préciser les modalités de la relation contractuelle entre le responsable de traitement et le sous-traitant entrées en vigueur le 27 juin 2021;
• les secondes concernant le transfert des données à caractère personnel vers des pays tiers, entrées en vigueur le 27 septembre 2021.

Pour mémoire, rappelons, en outre, que s’agissant de ces dernières, il n’est plus possible, depuis le 27 septembre 2021, de conclure des contrats incorporant les anciennes clauses contractuelles types et que pour les contrats en cours à cette date, ils doivent être mis en conformité avec les nouvelles rédactions au plus tard à effet du 28 décembre 2022.

Aussi, s’appuyant sur les différents retours d’expérience qui lui sont parvenus concernant l’utilisation de ces nouvelles clauses, la Commission européenne a publié le 25 mai dernier un document sous forme de questions-réponses visant à aider les parties prenantes dans leurs efforts de mise en conformité.

Ce document, qui ne comprend pas moins de 44 questions, fournit ainsi des orientations pratiques sur l’utilisation des clauses et sur le contexte dans lequel elles sont susceptibles de s’inscrire.

Il est par conséquent fortement recommandé de s’en saisir, en particulier si vous utilisez les services d’un prestataire qui héberge vos données en dehors de l’UE, ou que vous faites appel à une tierce maintenance depuis un pays hors UE.

Consultez ici l’intégralité du document (en anglais) : Questions and Answers for the two sets of Standard Contractual Clauses (25 mai 2022)

L’affaire Google Analytics connait un nouvel épisode avec la publication par la CNIL d’un article sur la mise en conformité de l’outil de mesure d’audience et d’une foire aux questions relative à ses dernières mises en demeures concernant la mise en œuvre de cet outil.

Pour rappel, la CNIL a procédé, le 10 février dernier, en coopération avec ses homologues européens, a des mises en demeure contre plusieurs structures pour transferts illégaux de données vers les Etats-Unis via Google Analytics. Elle considère que l’utilisation de cet outil entraîne des transferts non sécurisés de données personnelles, incitant ainsi les organismes à trouver des solutions et des alternatives afin de respecter les exigences relatives à la protection des données, notamment celles issues du RGPD.

Concernant d’abord la mise en conformité de l’outil de mesures d’audience, la CNIL explique que les mesures de paramétrage et de chiffrement ne suffisent pas, car elles n’empêchent pas l’accès aux données par des autorités extra-européennes. En effet, la problématique est celle du contact direct par le biais d’une connexion HTTPS, entre le terminal de la personne et les serveurs de Google. Les requêtes qui en résultent permettent aux serveurs Google d’obtenir l’adresse IP et des informations sur le terminal de l’internaute.

La seule solution envisageable est donc celle de rompre ce contact, ce qui est possible grâce à l’utilisation d’un proxy (un serveur mandataire). Concrètement, les adresses IP et informations auxquelles les serveurs de Google auront accès sont celles du proxy et non des internautes.

Cependant, il est nécessaire que ce serveur proxy remplisse certaines conditions pour considérer que cette mesure s’inscrit dans la ligne des recommandations du CEPD du 18 juin 2021 sur les instruments de transfert permettant de garantir un niveau de protection des données équivalent à celui assuré par le droit de l’UE.

En l’occurrence, le responsable du traitement doit s’assurer (par une analyse) que les données personnelles pseudonymisées ne peuvent pas être réattribuées à une personne physique identifiée ou identifiable. En d’autres termes, il faut s’assurer qu’une réidentification de la personne concernée est impossible tant pour Google que pour les autorités extra-européennes, et ce même en croisant d’autres informations.

Par ailleurs, la CNIL dresse une liste des mesures nécessaires pour mettre en place cette « proxyfication » :

• absence de transfert de l’adresse IP vers les serveurs de l’outil ;
• remplacement de l’identifiant utilisateur par le serveur proxy ;
• suppression de l’information de site référent ;
• suppression de tout paramètre contenu dans les URL collectées ;
• retraitement des informations pouvant générer une empreinte (fingerprint) ;
• absence de toute collecte d’identifiant entre sites ou déterministes ;
• suppression de toutes données pouvant servir à une réidentification.

Cependant, la CNIL reconnaît que la mise en place des mesures décrites ci-dessus peut être couteuse et complexe et ne peut ainsi être réalisée par tous les opérationnels. Pour faire face à ces difficultés, la Commission rappelle que les professionnels peuvent recourir à des solutions ne réalisant pas de transferts de données personnelles en dehors de l’UE.

Concernant ensuite la foire aux questions, celle-ci permet de tirer les conséquences des dernières décisions.

Cette FAQ répond notamment aux questions suivantes :

• l’anonymisation des décisions,
• la position de la CNIL par rapport aux institutions européennes,
• focus sur l’association NOYB,
• les clauses contractuelles types et garanties supplémentaires pour Google Analytics,
• le paramétrage de Google Analytics
• le chiffrement
• les alternatives
•  

Consultez ici l’article et la FAQ de la CNIL :  Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? ; Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics

Suite aux nombreuses plaintes relatives à la violation des données personnelles qu’elle a reçues contre Total Energies Electricité Gaz (Total Energies), la CNIL a effectué certains contrôles l’ayant conduite à prononcer une amende de 1 million d’euros à l’encontre de cette société.

Par cette décision, rendue d’ailleurs publique, la CNIL explique avoir constaté qu’un formulaire de souscription à un contrat d’énergie était disponible sur le site internet de l’entreprise.

Cependant, ce formulaire contenait un accord de l’utilisateur pour la réutilisation de ses données personnelles aux fins de recevoir ultérieurement des offres commerciales, et ce sans pouvoir s’y opposer. Ce qui constitue une violation aux exigences du RGPD et du Code des postes et des communications électroniques ou CPCE.

Par ailleurs, la CNIL a constaté des manquements aux obligations suivantes du RGPD :

• l’obligation d’information des personnes lors de démarchage téléphonique. Les personnes concernées ne se voyaient offrir la possibilité d’obtenir plus d’informations sur le traitement ;
• l’obligation de respecter le droit d’accès aux données (article 15 RGPD) et le droit d’opposition (article 21 du RGPD). En effet, l’entreprise ne prenait pas en considération les demandes d’accès aux données et d’opposition à la prospection commerciale ;
• l’obligation de répondre dans le délai d’un mois à une demande d’exercice des droits (article 12 du RGPD).

Pour conclure, la CNIL précise que le montant de l’amende est justifié par les graves manquements au RGPD et au CPCE. En outre, elle tient compte des mesures prises par Total Energies au cours de la procédure pour se mettre en conformité.

Consultez l’intégralité de la décision : Délibération de la CNIL – SAN-2022-011 du 23 juin 2022