Dans un communiqué publié le 6 avril dernier, le comité européen de la protection des données a salué l’accord de principe conclu entre la Commission européenne et les Etats-Unis sur un nouveau cadre légal de transfert des données vers le pays outre atlantique.
Cet accord fait suite à de multiples violations commises aux Etats-Unis, aux droits à la protection des données personnelles provenant de l’Europe.
Pour mémoire, la CJUE a, le 16 juillet 2020, rendu un arrêt qui oblige les exportateurs des données de continuer à mettre en œuvre les actions nécessaires afin de s’assurer que le pays de destination des données assure un niveau de protection équivalent à celui imposé par le RGPD.
Malgré l’aboutissement d’un nouvel accord, ces opérateurs n’en restent pas moins soumis aux exigences de la CJUE lors du transfert des données vers un pays tiers, notamment aux Etats-Unis.
En effet, si cet accord engage les autorités aux Etats-Unis d’établir des mesures sans précédent pour assureur la protection des données personnelles en provenance de l’EEE, il ne revêt pourtant qu’une portée politique sans aucune valeur juridique.
Ainsi, le CEPD examinera comment cet accord politique sera traduit en des propositions juridiques concrètes qui matérialisent les exigences de la CJUE d’assurer un niveau de protection des données conforme à celui du RGPD. Il s’agit plus particulièrement d’examiner :
Il convient de rappeler enfin que le RGPD impose à la Commission de solliciter l’avis du CEPD avant d’adopter toute nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les Etats-Unis.
Consultez ici la déclaration du CEPD en anglais : Statement 01/2022 on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework
En raison du nombre élevé des plaintes reçues par la CNIL pour violation des données personnelles, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis de simplifier les procédures permettant la mise en œuvre des mesures correctrices et de sanctions en cas de manquement au RGPD ou à la loi « Informatique et Libertés » du 6 janvier 1978.
L’article 33 a ainsi prévu que la mise en œuvre de ces procédures simplifiées sera régie par un décret en conseil d’Etat. C’est désormais chose faite avec l’entrée en vigueur du décret du 8 avril 2022.
Dans cette perspective, ce décret laisse ouvert le nombre d’échanges et allonge les délais requis pour les produire. Il ouvre également la possibilité à la mise en œuvre d’une procédure orale.
Le nouveau texte définit ensuite les modalités de la procédure simplifiée de sanction et de la procédure d’injonction à produire en cas d’absence de réponse à une mise en demeure devant le président de la formation restreinte.
Le décret autorise enfin à la commission à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans le cadre de la procédure ordinaire, ou susceptibles d’être désignées rapporteurs dans le cadre de la procédure simplifiée. Cette autorisation est toutefois admise sous réserve d’absence de conflit d’intérêts. Il en est notamment ainsi lorsque les rapporteurs ont un intérêt direct ou indirect dans l’un des organismes mis en cause dans le cadre de la procédure simplifiée.
Il organise la procédure d’échange entre la formation restreinte et les différentes autorités de contrôle lorsqu’il y existe un élément nouveau permettant de dépasser le cadre de la procédure simplifiée pour suivre une procédure ordinaire.
Pour mémoire, les sanctions susceptibles de pouvoir être prononcées dans le cadre d’une procédure simplifiées sont les suivantes :
Consultez ici l’intégralité du document : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JO 10 avril 2022 ; texte n° 20)
La nouvelle n’a surement pas dû vous échapper ! Le premier trimestre 2022 a été marqué par le décret sur la distribution d’assurance par voie de démarchage téléphonique. Pour compléter la réglementation sur la protection des données lors des appels téléphoniques, la CNIL formule sa position sur l’enregistrement des conversations dans le cadre probatoire suivant la formation d’un contrat.
En effet, l’enregistrement des conversations téléphoniques à des fins de preuve de la formation d’un contrat est autorisé. Il est même parfois prévu et encadré par la loi comme dans le code monétaire et financier ou dans le code des assurances. Cependant, cet enregistrement est autorisé sous réserve de conditions et de garanties, que la CNIL rappelle dans son article.
L’enregistrement doit être nécessaire pour prouver la formation d’un contrat. C’est-à-dire qu’il ne doit pas exister d’autres moyens possibles pour conclure le contrat. Ce dernier peut donc être oral.
Si la conclusion du contrat par téléphone est acceptée par la personne concernée, malgré d’autres formes de conclusions possibles, alors cette dernière doit avoir été correctement informée.
Cette information sur les possibilités de conclure le contrat par d’autres moyens est donc indispensable pour que l’enregistrement puisse être considéré comme nécessaire au contrat. La base légale retenue sera donc celle du contrat (article 6.1.b du RGPD).
En tous les cas, de fortes garanties doivent être apportées. Tout d’abord, le principe de minimisation doit être strictement respecté, l’enregistrement ne peut être ni permanent, ni systématique. Cela signifie que seules les conversations portant sur la conclusion du contrat doivent être enregistrées.
La CNIL recommande fortement que le téléopérateur puisse déclencher manuellement l’enregistrement au moment où l’objet de la conversation porte clairement sur la conclusion du contrat. De plus, cet extrait ne pourra être conservé qu’en l’absence d’une autre modalité de preuve de la formation ou de l’exécution du contrat (exemple : confirmation écrite).
Par ailleurs, la CNIL rappelle que l’information communiquée aux personnes concernées doit être concise, transparente, compréhensible, accessible, en des termes clairs et simples. Au regard du nombre d’informations devant être communiquées, elle recommande que cette information s’effectue en deux temps :
Puis, la CNIL fait état d’une garantie de limitation des durées de conservation des enregistrements qui doivent être prises en compte, cohérente avec la politique d’archivage et de purges des données de l’organisme.
Enfin, la CNIL insiste particulièrement sur la sécurisation des données avec la mise en place opérationnelle d’une politique d’habilitation afin d’accéder aux enregistrements pour sécuriser les données et gérer la traçabilité des accès.
Ce point de sécurité ne peut être complet sans un point de vigilance mis en exergue par la CNIL concernant les données bancaires transmises lors de ces appels téléphoniques. Elle considère que l’enregistrement de ces données ne sont pas nécessaires à la bonne exécution du paiement. La CNIL recommande donc la mise en place d’un dispositif pouvant interrompre ou supprimer rapidement l’enregistrement au moment où le consommateur prononce ces données.
Consultez ici l’article de la CNIL : L’enregistrement des conversations téléphoniques afin d’établir la preuve de la formation d’un contrat
Les données de santé sont considérées comme des données sensibles au sens du RGPD. Il en est ainsi du traitement du NIR (Numéro d’Inscription au Répertoire ou numéro de sécurité sociale) qui, par principe, est interdit sauf autorisation par décret en Conseil d’Etat.
Ce rappel des dispositions du RGPD peut expliquer la lourde amende infligée à la société DEDALUS BIOLOGIE le 15 avril par la CNIL.
Dans cette affaire, une fuite de données massive concernant près de 500 000 personnes a été révélée, le 23 février 2021, dans la presse ayant mis en cause ladite société. Les données apparues sur internet étaient : nom, prénom, NIR, nom du médecin prescripteur, date d’examen et autres informations médicales sur les patients.
Depuis cette date, la CNIL a réalisé plusieurs contrôles auprès de la société et a saisi le tribunal judiciaire de Paris pour bloquer l’accès au site internet sur lequel les données étaient publiées, ce qui a été fait dès le 4 mars 2021.
Suite à ces contrôles, la CNIL a constaté les manquements :
La décision de la CNIL s’est particulièrement penchée sur le manquement à l’obligation d’assurer la sécurité des données personnelles. En effet, elle a constaté de nombreuses absences de mesures de protection comme l’absence de chiffrement des données personnelles stockées, d’effacement automatique des données, d’authentification requise depuis internet, de procédure de supervision et de remontée d’alertes de sécurité sur le serveur, etc.
Pour ces motifs, la CNIL a sanctionné la société DEDALUS BIOLOGIE à une amende de 1.5 million d’euros.
A l’occasion de cette décision, nous ne pouvons que réitérer nos recommandations : assurez-vous de la mise en place et de l’effectivité des mesures de sécurité des données personnelles.
Consultez ici l’intégralité de la décision et de l’article de la CNIL : Décision SAN-2022-009 du 15 avril 2022 ; Fuite de données de santé : sanction de 1.5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE
Le CEPD a publié le 14 mars, une première version des lignes directrices sur les Dark Patterns (en français : interfaces truquées) dont l’objet est de fournir des recommandations permettant aux concepteurs et aux utilisateurs des réseaux sociaux d’identifier et d’éviter les interfaces malveillantes pouvant porter atteinte à la protection des données personnelles.
Pour mémoire, les Dark patterns sont des interfaces posées sur les plateformes de réseaux sociaux, qui peuvent conduire les concepteurs et les utilisateurs à prendre involontairement des décisions ou à adopter des comportements susceptibles de compromettre leurs données personnelles.
Après avoir exposé une liste des catégories des Dark patterns, les lignes directrices rappellent d’abord les principes généraux applicables à l’utilisation de ces interfaces, de manière à les rendre conformes aux dispositions du RGPD. Il s’agit plus particulièrement de l’exigence de base légale lors de la collecte et du traitement des données, de la nécessité de déterminer clairement la finalité du traitement et de faciliter aux personnes concernées l’accès et l’exercice de leurs droits sur leurs données.
Ensuite, le CEPD fournit certaines recommandations sur les pratiques à suivre par les concepteurs et les responsables du traitement afin de pouvoir implémenter les interfaces conformément au RGPD.
Les lignes directrices exposent enfin une liste non-exhaustive des exemples pratiques qui peuvent être rencontrés par les concepteurs et les utilisateurs lors de la l’installation ou de l’utilisation de ces interfaces.
D’ailleurs, cette version est ouverte à la consultation du public jusqu’au 2 mai 2022.
Consultez ici l’intégralité du document en anglais : Guidelines 3/2022 on Dark patterns in social media platform interfaces : How to recognise and avoid them
Avec la loi n° 2022-309, qui a été publiée au Journal Officiel le 3 mars 2022, la protection des données des consommateurs en ligne sera prochainement davantage renforcée.
En effet, ce texte ajoute un nouvel article L.111-7-3 au Code de la consommation applicable aux plateformes en ligne qui proposent un service de comparaison des produits et des prix, en vue de la vente ou de la mise en relation entre un professionnel et un consommateur. Il impose désormais à ces intermédiaires, de réaliser un audit de cybersécurité portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers. Il leur impose également de sécuriser leurs propres outils de traitement et de transfert des données.
Nous pensons bien évidemment ici aux sites de comparateurs d’assurance susceptibles de collecter un certain nombre d’informations personnelles de prospects dans le but notamment de proposer la réalisation de devis en ligne.
L’audit en question devra-t-être réalisé par des prestataires d’audit qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Les intermédiaires en lignes devront également informer les consommateurs des résultats de leur audit de façon lisible, claire et compréhensible.
Des textes réglementaires viendront définir ultérieurement les modalités de la mise en œuvre de ces évolutions. En effet, un décret pris en Conseil d’état fixera le seuil d’activités à partir duquel l’audit sera exigible, et un arrêté pris après avis de la CNIL définira aussi la durée de sa validité.
Ces nouvelles dispositions entreront en vigueur le 1er octobre 2023.
Consultez ici le texte de la loi : Loi n° 2022-309 du 3 mars 2022
Le 10 décembre 2021, la Cour de cassation a saisi le Conseil constitutionnel d’une Question Prioritaire de Constitutionnalité (QPC). Celle-ci portait sur la conformité à la constitution de l’article L34-1 du Code des Postes et des Communications Électroniques (CPCE), concernant le traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques.
Sont contestées les paragraphes II et III de l’article L34-1 du CPCE, qui imposent aux opérateurs d’effacer ou de rendre anonymes les données relatives au trafic, enregistrées à l’occasion des communications électroniques dont ils assurent la transmission.
De plus, les requérants reprochaient à ces dispositions d’imposer aux opérateurs la conservation générale et indifférenciée des données de connexion, sans la réserver à la recherche d’infractions graves et sans même soumettre cette conservation à une autorisation ou à un contrôle d’une juridiction ou d’une autorité indépendante.
Enfin, il était reproché le fait qu’il existait d’autres moyens d’investigations moins attentatoires au respect de la vie privée.
Suite à ces contestations, le Conseil Constitutionnel constate d’abord que ces données de connexion conservées portent sur l’identification des utilisateurs des services de communications, mais aussi sur la localisation de leur équipement.
Au regard de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, ces données fournissent ainsi des informations nombreuses et précises, particulièrement attentatoires à la vie privée.
Le Conseil relève ensuite qu’une telle conservation s’applique de manière générale à tous les utilisateurs et que cette obligation de conservation porte indifféremment sur toutes les données de connexion de l’utilisateur, sensibles ou non, sans considération de la nature et de la gravité des infractions recherchées.
Le Conseil Constitutionnel déduit, dans sa décision du 25 février 2022, que ces dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée consacré dans l’article2 de la Déclaration des droits de l’homme et du citoyen de 1789 (DDHC).
Consultez ici le communiqué de presse et la décision : Décision n° 2021-976/977 QPC du 25 février 2022 – Communiqué de presse | Conseil constitutionnel (conseil-constitutionnel.fr) ; Décision n° 2021-976/977 QPC du 25 février 2022 ; Conseil constitutionnel (conseil-constitutionnel.fr)
