L’affaire Google Analytics connait un nouvel épisode avec la publication par la CNIL d’un article sur la mise en conformité de l’outil de mesure d’audience et d’une foire aux questions relative à ses dernières mises en demeures concernant la mise en œuvre de cet outil.

Pour rappel, la CNIL a procédé, le 10 février dernier, en coopération avec ses homologues européens, a des mises en demeure contre plusieurs structures pour transferts illégaux de données vers les Etats-Unis via Google Analytics. Elle considère que l’utilisation de cet outil entraîne des transferts non sécurisés de données personnelles, incitant ainsi les organismes à trouver des solutions et des alternatives afin de respecter les exigences relatives à la protection des données, notamment celles issues du RGPD.

Concernant d’abord la mise en conformité de l’outil de mesures d’audience, la CNIL explique que les mesures de paramétrage et de chiffrement ne suffisent pas, car elles n’empêchent pas l’accès aux données par des autorités extra-européennes. En effet, la problématique est celle du contact direct par le biais d’une connexion HTTPS, entre le terminal de la personne et les serveurs de Google. Les requêtes qui en résultent permettent aux serveurs Google d’obtenir l’adresse IP et des informations sur le terminal de l’internaute.

La seule solution envisageable est donc celle de rompre ce contact, ce qui est possible grâce à l’utilisation d’un proxy (un serveur mandataire). Concrètement, les adresses IP et informations auxquelles les serveurs de Google auront accès sont celles du proxy et non des internautes.

Cependant, il est nécessaire que ce serveur proxy remplisse certaines conditions pour considérer que cette mesure s’inscrit dans la ligne des recommandations du CEPD du 18 juin 2021 sur les instruments de transfert permettant de garantir un niveau de protection des données équivalent à celui assuré par le droit de l’UE.

En l’occurrence, le responsable du traitement doit s’assurer (par une analyse) que les données personnelles pseudonymisées ne peuvent pas être réattribuées à une personne physique identifiée ou identifiable. En d’autres termes, il faut s’assurer qu’une réidentification de la personne concernée est impossible tant pour Google que pour les autorités extra-européennes, et ce même en croisant d’autres informations.

Par ailleurs, la CNIL dresse une liste des mesures nécessaires pour mettre en place cette « proxyfication » :

• absence de transfert de l’adresse IP vers les serveurs de l’outil ;
• remplacement de l’identifiant utilisateur par le serveur proxy ;
• suppression de l’information de site référent ;
• suppression de tout paramètre contenu dans les URL collectées ;
• retraitement des informations pouvant générer une empreinte (fingerprint) ;
• absence de toute collecte d’identifiant entre sites ou déterministes ;
• suppression de toutes données pouvant servir à une réidentification.

Cependant, la CNIL reconnaît que la mise en place des mesures décrites ci-dessus peut être couteuse et complexe et ne peut ainsi être réalisée par tous les opérationnels. Pour faire face à ces difficultés, la Commission rappelle que les professionnels peuvent recourir à des solutions ne réalisant pas de transferts de données personnelles en dehors de l’UE.

Concernant ensuite la foire aux questions, celle-ci permet de tirer les conséquences des dernières décisions.

Cette FAQ répond notamment aux questions suivantes :

• l’anonymisation des décisions,
• la position de la CNIL par rapport aux institutions européennes,
• focus sur l’association NOYB,
• les clauses contractuelles types et garanties supplémentaires pour Google Analytics,
• le paramétrage de Google Analytics
• le chiffrement
• les alternatives
•  

Consultez ici l’article et la FAQ de la CNIL :  Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? ; Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics

Suite aux nombreuses plaintes relatives à la violation des données personnelles qu’elle a reçues contre Total Energies Electricité Gaz (Total Energies), la CNIL a effectué certains contrôles l’ayant conduite à prononcer une amende de 1 million d’euros à l’encontre de cette société.

Par cette décision, rendue d’ailleurs publique, la CNIL explique avoir constaté qu’un formulaire de souscription à un contrat d’énergie était disponible sur le site internet de l’entreprise.

Cependant, ce formulaire contenait un accord de l’utilisateur pour la réutilisation de ses données personnelles aux fins de recevoir ultérieurement des offres commerciales, et ce sans pouvoir s’y opposer. Ce qui constitue une violation aux exigences du RGPD et du Code des postes et des communications électroniques ou CPCE.

Par ailleurs, la CNIL a constaté des manquements aux obligations suivantes du RGPD :

• l’obligation d’information des personnes lors de démarchage téléphonique. Les personnes concernées ne se voyaient offrir la possibilité d’obtenir plus d’informations sur le traitement ;
• l’obligation de respecter le droit d’accès aux données (article 15 RGPD) et le droit d’opposition (article 21 du RGPD). En effet, l’entreprise ne prenait pas en considération les demandes d’accès aux données et d’opposition à la prospection commerciale ;
• l’obligation de répondre dans le délai d’un mois à une demande d’exercice des droits (article 12 du RGPD).

Pour conclure, la CNIL précise que le montant de l’amende est justifié par les graves manquements au RGPD et au CPCE. En outre, elle tient compte des mesures prises par Total Energies au cours de la procédure pour se mettre en conformité.

Consultez l’intégralité de la décision : Délibération de la CNIL – SAN-2022-011 du 23 juin 2022

Suite à plusieurs plaintes reçues ces derniers mois sur le sujet des « murs de traceurs » (cookie walls en anglais), la CNIL a publié, le 16 mai dernier, des premiers critères permettant d’évaluer la légalité de cette pratique.

Pour mémoire, les cookie walls est une pratique selon laquelle l’internaute est obligé d’accepter le dépôt de certains traceurs sur son terminal (ordinateur, smartphone, … etc.) pour accéder à un service sur internet. A défaut d’acceptation, celui-ci sera obligé de fournir une contrepartie financière pour accéder au site.

La CNIL rappelle dans un premier temps que si le dépôt de cookie walls est susceptible de porter atteinte, dans certains cas, à la liberté du consentement, cette pratique n’est pourtant pas interdite de manière générale. Sa légalité doit en effet être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternatives réelles et satisfaisantes proposées en cas de refus des traceurs.

La CNIL recommande, en second temps, la prise en compte de certains critères afin d’apprécier si la pratique de cookie walls est susceptible de porter atteinte au consentement de l’utilisateur. Les opérateurs devront en effet :

• proposer des alternatives réelles et équitables permettant à l’internaute d’accéder au site web lorsqu’il refuse l’utilisation des traceurs sur ce site ;
• exiger, le cas échéant, le paiement d’une contrepartie financière raisonnable qui ne prive pas l’internaute d’un véritable choix ;
• veiller à ce que ce tarif, déterminé au cas par cas, puisse être justifié et ainsi représenter la rémunération juste du service proposé ;
• à défaut, être en mesure de démontrer qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs ;
• s’abstenir de déposer des traceurs nécessitant le consentement de l’internaute lorsque ce dernier accepte l’alternative proposée par l’éditeur.

Pour mémoire, La CNIL et le CEPD ont appelé, à plusieurs reprises, le législateur européen à fixer des règles plus précises en matière de cookies dans le futur règlement européen ePrivacy, en cours d’élaboration.

Consultez ici le communiqué de la CNIL : Cookie walls : la CNIL publie des premiers critères d’évaluation

Dans l’objectif d’harmoniser la politique de sanction suivie par les autorités nationales de protection des données, le Comité Européen de la Protection des Donnée (CEPD) a publié, le 12 mai dernier, de nouvelles lignes directrices sur la méthodologie de calcul des amendes administratives liées à la violation des règles du RGPD.

Ces lignes directrices viennent d’ailleurs s’ajouter au guide adopté par le CEPD sur l’application et la fixation des amendes et dans lequel l’autorité européenne insiste sur la nécessité de prendre en compte les circonstances de chaque affaire lors de la prescription d’une amende.

Pour rappel, l’article 83 du RGPD dispose d’ailleurs que les amendes administratives, déterminées en principe par les autorités nationales de contrôle doivent dans chaque cas être effectives, proportionnées et dissuasives, sans pourtant excéder le plafond déterminé par le RGPD.

Dans le respect des principes cités ci-dessus, le CEPD prévoit que les Autorités de contrôle doivent suivre les cinq étapes suivantes :

• Identifier les opérations de traitement des données comportant des infractions aux règles du RGPD, l’objectif étant de déterminer si toutes les infractions ou certaines d’entre elles peuvent d’être sanctionnées ;
• Identifier un point de départ pour le calcul de l’amende, en fonction de la nature et de la gravité de l’infraction ainsi que le chiffre d’affaires de l’entreprise ;
• Prendre en compte les facteurs aggravant ou atténuant qui peuvent augmenter ou diminuer le montant de l’amende, tel que le comportement du responsable du traitement ou du sous-traitant dans le passé ;
• Déterminer les plafonds légaux des amendes conformément à l’article 83, §4 à §6 du RGPD et veiller à ce que les amendes ne dépassent pas ces plafonds ;
• Analyser enfin si le montant final de l’amende calculé répond aux exigences d’efficacité, de dissuasion et de proportionnalité, étant précisé que des ajustements supplémentaires de ce montant peuvent, si nécessaire, être opérés.

Autrement dit, la méthodologie expliquée ci-dessus ne repose pas sur un simple calcul mathématique, mais plutôt sur les circonstances spécifiques à chaque infraction afin de déterminer le montant final de l’amende qui, lui, peut varier dans les limites imposées par le RGPD.

Ces lignes directrices sont soumises à consultation publique jusqu’au 27 juin prochain. 

Consultez ici l’intégralité du document en anglais : Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 0.1

Comme chaque année, la CNIL a publié, le 11 mai dernier, son rapport d’activité pour l’année 2021.

Ce rapport met en avant l’activité particulièrement intense de la CNIL d’une part, et présente sa stratégie d’action pour les années à venir d’autre part.

Concernant son activité pour l’année 2021, la Commission fait le point sur son action d’accompagnement des opérateurs économiques dans leur démarche de conformité au RGPD mais aussi sur le contrôle du respect du règlement par ces derniers. Ces actions, concernant d’ailleurs plusieurs secteurs y compris celui de l’assurance, sont présentées en détail dans le rapport. Il s’agit notamment : 

• de l’accompagnement de 12 projets économiques via sa stratégie innovante « start-up » ;
• du contrôle progressif du respect des mesures de sécurité concernant les données de santé et de la cybersécurité (22 contrôles) ;
• du contrôle accru du respect du droit des données personnelles, notamment en matière de cookies et autres traceurs (89 mises en demeure en 2021).

S’agissant plus particulièrement du secteur de l’assurance, celui-ci a fait en 2021 l’objet d’un accompagnement privilégié mais aussi d’une surveillance accrue, compte tenu des données sensibles que les organismes et les distributeurs d’assurance sont amenés à traiter. En effet :

• la CNIL a animé en 2021 certains clubs conformité avec les principaux représentants du secteur (FA, FNFM, CTIP). Ces rencontres ont notamment permis la mise à jour du pack conformité assurance en juillet 2021 ;
• 25 % des plaintes traitées par la CNIL concernent le secteur banque-crédit-assurance ;
• 10 % des notifications de violation des données reçues par la CNIL concernent les activités financières et d’assurance.

Les enquêtes menées ont ainsi permis de constater de nombreuses vulnérabilités, des insuffisances dans les politiques de mots de passe ou encore des suites cryptographiques obsolètes. Ce qui nous alerte sur la nécessité de renforcer la sécurité de notre système numérique face aux cyberattaques.  

Concernant sa stratégie pour les années à venir, la CNIL confirme son intention de renforcer le respect effectif des droits sur la protection des données en mettant en œuvre des moyens d’accompagnement et de sanction qui sont agiles, équilibrées et efficaces. C’est ainsi qu’elle précise ses orientations autour des trois axes prioritaires suivants :

• favoriser la maitrise et le respect des droits des personnes sur le terrain, par le renforcement des actions de sensibilisation, d’accompagnement et des actions répressives;
• promouvoir le RGPD comme un atout de confiance pour les organismes, par la fourniture d’orientations pratiques et claires aux responsables de traitement, le renforcement de sa stratégie d’accompagnement et le développement d’outils de certification et de codes de conduite ;
• prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée, tel que les transferts des données dans l’informatique en nuage (Cloud) et les collectes des données personnelles dans les applications des smartphones.

En résumé, la CNIL renouvelle sa politique d’accompagnement, sa mobilisation accrue sur la cybersécurité et prévoit de renforcer son action répressive.

Consultez ici l’intégralité du rapport : Rapport annuel 2021 CNIL 

Pour mémoire, le RGPD dispose que toute personne physique dispose d’un droit fondamental d’agir contre un opérateur économique afin d’assurer la protection de ses données personnelles. Ce droit n’est pourtant pas limité à l’action individuelle mais s’étend également aux actions collectives, notamment celles intentées par des associations de consommateurs en cessation de violation des données personnelles. Ce qui a été récemment confirmé par un arrêt de la Cour de justice de l’Union Européenne du 28 avril dernier (C-319-20).

Dans cette affaire, une association allemande de défense des consommateurs engage une action en cessation à l’encontre d’une société gérant la plate-forme Internet Facebook. Celle-ci a mis à la disposition des utilisateurs des jeux gratuits fournis par des tiers. En revanche, la société en cause indique que la seule utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données personnelles et de publier les informations ainsi collectées.  

Ces faits ont incité l’association à agir en justice reprochant à la société exploitant la plateforme Facebook de procéder à la collecte et au traitement des données personnelles sans obtenir de consentement des personnes concernées. C’est ainsi qu’une question préjudicielle a été posée à la Cour de Justice sur la recevabilité d’une telle action lorsque l’association demanderesse n’a reçu aucun mandat des consommateurs.

En réponse à cette question, la CJUE confirme que les États membres peuvent prévoir un mécanisme d’action représentative contre l’auteur présumé d’une violation des droits aux données personnelles, à condition de respecter un certain nombre d’exigences.

Si cet arrêt ne met pas en cause des organismes d’assurance, il porte cependant une interprétation des règles générales du RGPD applicables à tout opérateur économique, quelle que soit sa qualification. La haute juridiction européenne confirme en effet que : 

• une association à but non lucratif peut agir dans le cadre de la protection des données personnelles, à condition que son objectif statutaire soit d’intérêt public et qu’elle soit active dans le domaine de la protection des droits des personnes concernées (art. 80.1 RGPD) ;
• cette action est valable lorsque l’association considère que les droits d’une personne concernée ont été violés du fait du traitement de ces données (art. 80.2 RGPD) ;
• une identification individuelle et préalable de cette personne n’est en effet pas nécessaire, la simple désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement étant suffisante (art. 80.2 RGPD) ;
• l’action représentative n’est pas soumise à l’existence d’une violation concrète. Il suffit en effet de faire valoir que le traitement de données concerné est susceptible d’affecter les droits à la protection des données personnelles des personnes physiques, identifiées ou identifiables, sans qu’il soit nécessaire de prouver un préjudice réel.

Consultez ici l’arrêt de la CJUE : ARRET DU 28. 4. 2022 – AFFAIRE C-319/20

Dans l’objectif d’accompagner le mouvement progressif de création et de traitement des données au cours de ces dernières années, France Assureur a publié, le 21 avril dernier, un livre blanc qui contient plusieurs propositions permettant d’utiliser les données à des fins d’innovation tout en assurant un niveau suffisant de protection.

Permettant d’aider les citoyens et les entreprises à faire face à des menaces cyber, ce Livre Blanc contient d’abord des propositions relatives à la protection des données. Il s’agit plus particulièrement de :

• inclure une sensibilisation cyber dans le parcours des jeunes élèves (primaire, collège, lycée), sous l’égide du ministère de l’Education nationale, de la Jeunesse de des Sports, sur le modèle des actions de la Prévention routière ;
• clarifier la position de l’Etat français et de l’Union européenne concernant le cadre légal de l’indemnisation du paiement des rançons;
• développer une culture du risque cyber;
• amplifier les efforts de prévention des TPE et PME.

Ensuite, France Assureur propose la mise en place, au niveau européen, d’un cadre qui favorise l’utilisation des données à des fins d’innovation, sans compromettre le respect du choix de l’utilisateur de partager ses données et le droit des acteurs à un accès transparent et équitable.

Enfin, la Fédération propose de préparer les embauches à venir dans les métiers digitaux par le renforcement des formations concernant les compétences stratégiques pour la transformation des modèles de développement.

Consultez ici l’intégralité du document : Livre blanc : Bâtir une économie de la donnée innovante et protectrice en faveur des Français