Comme chaque année, la CNIL a publié, le 11 mai dernier, son rapport d’activité pour l’année 2021.

Ce rapport met en avant l’activité particulièrement intense de la CNIL d’une part, et présente sa stratégie d’action pour les années à venir d’autre part.

Concernant son activité pour l’année 2021, la Commission fait le point sur son action d’accompagnement des opérateurs économiques dans leur démarche de conformité au RGPD mais aussi sur le contrôle du respect du règlement par ces derniers. Ces actions, concernant d’ailleurs plusieurs secteurs y compris celui de l’assurance, sont présentées en détail dans le rapport. Il s’agit notamment : 

• de l’accompagnement de 12 projets économiques via sa stratégie innovante « start-up » ;
• du contrôle progressif du respect des mesures de sécurité concernant les données de santé et de la cybersécurité (22 contrôles) ;
• du contrôle accru du respect du droit des données personnelles, notamment en matière de cookies et autres traceurs (89 mises en demeure en 2021).

S’agissant plus particulièrement du secteur de l’assurance, celui-ci a fait en 2021 l’objet d’un accompagnement privilégié mais aussi d’une surveillance accrue, compte tenu des données sensibles que les organismes et les distributeurs d’assurance sont amenés à traiter. En effet :

• la CNIL a animé en 2021 certains clubs conformité avec les principaux représentants du secteur (FA, FNFM, CTIP). Ces rencontres ont notamment permis la mise à jour du pack conformité assurance en juillet 2021 ;
• 25 % des plaintes traitées par la CNIL concernent le secteur banque-crédit-assurance ;
• 10 % des notifications de violation des données reçues par la CNIL concernent les activités financières et d’assurance.

Les enquêtes menées ont ainsi permis de constater de nombreuses vulnérabilités, des insuffisances dans les politiques de mots de passe ou encore des suites cryptographiques obsolètes. Ce qui nous alerte sur la nécessité de renforcer la sécurité de notre système numérique face aux cyberattaques.  

Concernant sa stratégie pour les années à venir, la CNIL confirme son intention de renforcer le respect effectif des droits sur la protection des données en mettant en œuvre des moyens d’accompagnement et de sanction qui sont agiles, équilibrées et efficaces. C’est ainsi qu’elle précise ses orientations autour des trois axes prioritaires suivants :

• favoriser la maitrise et le respect des droits des personnes sur le terrain, par le renforcement des actions de sensibilisation, d’accompagnement et des actions répressives;
• promouvoir le RGPD comme un atout de confiance pour les organismes, par la fourniture d’orientations pratiques et claires aux responsables de traitement, le renforcement de sa stratégie d’accompagnement et le développement d’outils de certification et de codes de conduite ;
• prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée, tel que les transferts des données dans l’informatique en nuage (Cloud) et les collectes des données personnelles dans les applications des smartphones.

En résumé, la CNIL renouvelle sa politique d’accompagnement, sa mobilisation accrue sur la cybersécurité et prévoit de renforcer son action répressive.

Consultez ici l’intégralité du rapport : Rapport annuel 2021 CNIL 

Pour mémoire, le RGPD dispose que toute personne physique dispose d’un droit fondamental d’agir contre un opérateur économique afin d’assurer la protection de ses données personnelles. Ce droit n’est pourtant pas limité à l’action individuelle mais s’étend également aux actions collectives, notamment celles intentées par des associations de consommateurs en cessation de violation des données personnelles. Ce qui a été récemment confirmé par un arrêt de la Cour de justice de l’Union Européenne du 28 avril dernier (C-319-20).

Dans cette affaire, une association allemande de défense des consommateurs engage une action en cessation à l’encontre d’une société gérant la plate-forme Internet Facebook. Celle-ci a mis à la disposition des utilisateurs des jeux gratuits fournis par des tiers. En revanche, la société en cause indique que la seule utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données personnelles et de publier les informations ainsi collectées.  

Ces faits ont incité l’association à agir en justice reprochant à la société exploitant la plateforme Facebook de procéder à la collecte et au traitement des données personnelles sans obtenir de consentement des personnes concernées. C’est ainsi qu’une question préjudicielle a été posée à la Cour de Justice sur la recevabilité d’une telle action lorsque l’association demanderesse n’a reçu aucun mandat des consommateurs.

En réponse à cette question, la CJUE confirme que les États membres peuvent prévoir un mécanisme d’action représentative contre l’auteur présumé d’une violation des droits aux données personnelles, à condition de respecter un certain nombre d’exigences.

Si cet arrêt ne met pas en cause des organismes d’assurance, il porte cependant une interprétation des règles générales du RGPD applicables à tout opérateur économique, quelle que soit sa qualification. La haute juridiction européenne confirme en effet que : 

• une association à but non lucratif peut agir dans le cadre de la protection des données personnelles, à condition que son objectif statutaire soit d’intérêt public et qu’elle soit active dans le domaine de la protection des droits des personnes concernées (art. 80.1 RGPD) ;
• cette action est valable lorsque l’association considère que les droits d’une personne concernée ont été violés du fait du traitement de ces données (art. 80.2 RGPD) ;
• une identification individuelle et préalable de cette personne n’est en effet pas nécessaire, la simple désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement étant suffisante (art. 80.2 RGPD) ;
• l’action représentative n’est pas soumise à l’existence d’une violation concrète. Il suffit en effet de faire valoir que le traitement de données concerné est susceptible d’affecter les droits à la protection des données personnelles des personnes physiques, identifiées ou identifiables, sans qu’il soit nécessaire de prouver un préjudice réel.

Consultez ici l’arrêt de la CJUE : ARRET DU 28. 4. 2022 – AFFAIRE C-319/20

Dans l’objectif d’accompagner le mouvement progressif de création et de traitement des données au cours de ces dernières années, France Assureur a publié, le 21 avril dernier, un livre blanc qui contient plusieurs propositions permettant d’utiliser les données à des fins d’innovation tout en assurant un niveau suffisant de protection.

Permettant d’aider les citoyens et les entreprises à faire face à des menaces cyber, ce Livre Blanc contient d’abord des propositions relatives à la protection des données. Il s’agit plus particulièrement de :

• inclure une sensibilisation cyber dans le parcours des jeunes élèves (primaire, collège, lycée), sous l’égide du ministère de l’Education nationale, de la Jeunesse de des Sports, sur le modèle des actions de la Prévention routière ;
• clarifier la position de l’Etat français et de l’Union européenne concernant le cadre légal de l’indemnisation du paiement des rançons;
• développer une culture du risque cyber;
• amplifier les efforts de prévention des TPE et PME.

Ensuite, France Assureur propose la mise en place, au niveau européen, d’un cadre qui favorise l’utilisation des données à des fins d’innovation, sans compromettre le respect du choix de l’utilisateur de partager ses données et le droit des acteurs à un accès transparent et équitable.

Enfin, la Fédération propose de préparer les embauches à venir dans les métiers digitaux par le renforcement des formations concernant les compétences stratégiques pour la transformation des modèles de développement.

Consultez ici l’intégralité du document : Livre blanc : Bâtir une économie de la donnée innovante et protectrice en faveur des Français

Dans un communiqué publié le 6 avril dernier, le comité européen de la protection des données a salué l’accord de principe conclu entre la Commission européenne et les Etats-Unis sur un nouveau cadre légal de transfert des données vers le pays outre atlantique.

Cet accord fait suite à de multiples violations commises aux Etats-Unis, aux droits à la protection des données personnelles provenant de l’Europe.

Pour mémoire, la CJUE a, le 16 juillet 2020, rendu un arrêt qui oblige les exportateurs des données de continuer à mettre en œuvre les actions nécessaires afin de s’assurer que le pays de destination des données assure un niveau de protection équivalent à celui imposé par le RGPD.   

Malgré l’aboutissement d’un nouvel accord, ces opérateurs n’en restent pas moins soumis aux exigences de la CJUE lors du transfert des données vers un pays tiers, notamment aux Etats-Unis.

En effet, si cet accord engage les autorités aux Etats-Unis d’établir des mesures sans précédent pour assureur la protection des données personnelles en provenance de l’EEE, il ne revêt pourtant qu’une portée politique sans aucune valeur juridique.

Ainsi, le CEPD examinera comment cet accord politique sera traduit en des propositions juridiques concrètes qui matérialisent les exigences de la CJUE d’assurer un niveau de protection des données conforme à celui du RGPD. Il s’agit plus particulièrement d’examiner :

• la manière dont la réforme assurera que la collecte de données personnelles à des fins de sécurité nationale est limitée au strict nécessaire et proportionnée ;
• dans quelle mesure les mécanismes de recours indépendants annoncés respecteront le droit des individus de l’EEE à un recours effectif et à un procès équitable.

Il convient de rappeler enfin que le RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter toute nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les Etats-Unis.

Consultez ici la déclaration du CEPD en anglais : Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework

En raison du nombre élevé des plaintes reçues par la CNIL pour violation des données personnelles, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis de simplifier les procédures permettant la mise en œuvre des mesures correctrices et de sanctions en cas de manquement au RGPD ou à la loi « Informatique et Libertés » du 6 janvier 1978.

L’article 33 a ainsi prévu que la mise en œuvre de ces procédures simplifiées sera régie par un décret en conseil d’Etat. C’est désormais chose faite avec l’entrée en vigueur du décret du 8 avril 2022.

Dans cette perspective, ce décret laisse ouvert le nombre d’échanges et allonge les délais requis pour les produire. Il ouvre également la possibilité à la mise en œuvre d’une procédure orale.

Le nouveau texte définit ensuite les modalités de la procédure simplifiée de sanction et de la procédure d’injonction à produire en cas d’absence de réponse à une mise en demeure devant le président de la formation restreinte.   

Le décret autorise enfin à la commission à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans le cadre de la procédure ordinaire, ou susceptibles d’être désignées rapporteurs dans le cadre de la procédure simplifiée. Cette autorisation est toutefois admise sous réserve d’absence de conflit d’intérêts. Il en est notamment ainsi lorsque les rapporteurs ont un intérêt direct ou indirect dans l’un des organismes mis en cause dans le cadre de la procédure simplifiée.

Il organise la procédure d’échange entre la formation restreinte et les différentes autorités de contrôle lorsqu’il y existe un élément nouveau permettant de dépasser le cadre de la procédure simplifiée pour suivre une procédure ordinaire.

Pour mémoire, les sanctions susceptibles de pouvoir être prononcées dans le cadre d’une procédure simplifiées sont les suivantes :

• Rappel à l’ordre;
• Amende maximale de 20 000€;
• Injonction avec astreinte plafonnée à 100 euros par jour de retard.

Consultez ici l’intégralité du document : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JO 10 avril 2022 ; texte n° 20)