Le 10 juillet dernier, et après de longs mois de négociations après l’invalidation par la CJUE de la précédente décision, la Commission européenne a enfin adopté une nouvelle décision d’adéquation concernant le niveau de protection et de sécurité qu’offre les Etats-Unis en cas de transfert de données personnelles vers ce pays.

Par cette décision, la Commission européenne constate en effet que les modifications apportées par ces derniers assurent désormais un niveau de protection des données personnelles équivalent à celui de l’Union européenne (UE).

Il ressort néanmoins que les transferts de données personnelles depuis l’UE ne pourront librement être réalisés, sans encadrement spécifique, que vers certains organismes américains qui auront fait le choix de se soumettre au nouveau « Privacy Shield » et à ce titre auront fait la démarche de s’inscrire sur la liste mise en place et gérée par le ministère américain du commerce.

Cette liste sera prochainement rendue publique.

Consultez ici l’intégralité du document (en anglais) : Décision d’adéquation de la Commission européenne du 10 juillet 2023

La société CRITEO, spécialisée dans la publicité en ligne et le « reciblage » publicitaire, a été sanctionnée par la CNIL (Commission nationale de l’informatique et des libertés) d’une amende de 40 millions d’euros pour ne pas avoir vérifié le consentement des personnes dont elle traite les données. Cette décision fait suite à des plaintes déposées par les associations Privacy International et None of Your Business.

CRITEO utilise le « reciblage » publicitaire pour suivre la navigation des internautes et leur afficher des publicités personnalisées. Cependant, la CNIL a constaté plusieurs manquements lors de ses contrôles, notamment l’absence de preuve du consentement des utilisateurs, le manque d’information et de transparence, ainsi que le non-respect des droits des personnes.

La CNIL a pris en compte plusieurs facteurs pour déterminer le montant de l’amende. CRITEO traite un très grand nombre de données et collecte une quantité importante d’informations sur les habitudes de consommation des internautes. La société a également un modèle économique qui repose sur la collecte et le traitement massif de données. En traitant les données sans preuve de consentement valable, CRITEO a pu augmenter indûment le nombre de personnes concernées par ses traitements et ainsi accroître ses revenus publicitaires.

La CNIL a relevé cinq manquements au RGPD (Règlement général sur la protection des données) de la part de CRITEO, en effet elle n’a pas :

• vérifié le consentement des internautes lors du dépôt du traceur CRITEO, utilisé pour cibler les publicités, ni mis en place de mesures pour s’assurer que ses partenaires recueillent valablement le consentement des utilisateurs ;
• une politique de confidentialité complète, certaines finalités sont formulées de manière vague ;
• toutes les données demandées lors de l’exercice du droit d’accès ;
• correctement traité les demandes de retrait du consentement et d’effacement des données ;
• un accord contraignant complet entre les responsables conjoints de traitement.

Suite à cette décision, transmise aux autorités de contrôle européennes, la société CRITEO a modifié ses contrats avec les partenaires pour inclure une clause sur la preuve du consentement des utilisateurs. Sa politique de confidentialité a été complétée et simplifiée, et des mesures ont été prises pour permettre aux personnes d’exercer leurs droits plus facilement.

Consultez ici l’intégralité de la décision de la CNIL : Délibération SAN-2023-009 du 15 juin 2023

Récemment un litige s’est ouvert entre les plateformes Google, Meta, Tik Tok et les autorités autrichiennes, après que l’autorité autrichienne de régulation des communications, ait déclaré que la loi autrichienne de 2020 sur la protection des utilisateurs des plateformes de communication leur était applicable, quand bien même celles-ci sont établies en Irlande.

La loi autrichienne en question vise en effet à renforcer la responsabilité des plateformes de communication, en exigeant des fournisseurs, qu’ils soient basés en Autriche ou à l’étranger, de mettre en place un système de notification et de vérification des contenus potentiellement illicites, ainsi que de publier régulièrement des rapports sur le traitement de ces signalements.

Cependant, Google, Meta Platforms et Tik Tok soutiennent que cette loi est incompatible avec la directive sur le commerce électronique, en particulier eu égard au principe du pays d’origine.

La question préjudicielle a donc été posée à la CJUE.

Dans cet avis récent, l’avocat général Maciej Szpunar souligne ainsi que la directive sur le commerce électronique interdit en principe aux États membres de restreindre la libre circulation des services de la société de l’information provenant d’autres États membres.

Selon lui, les dérogations à ce principe ne peuvent être appliquées que de manière spécifique, au cas par cas, après notification préalable à la Commission européenne et demande à l’État membre d’origine d’intervenir. Il estime également qu’une disposition générale et abstraite qui s’applique à tous les prestataires de services de la société de l’information serait contraire à l’objectif de suppression des obstacles juridiques au bon fonctionnement du marché intérieur.

En conclusion, l’avocat général affirme que la directive sur le commerce électronique s’oppose à la restriction de la libre circulation des services de la société de l’information d’un autre État membre dans de telles circonstances et de cette manière. Ses conclusions sont susceptibles d’influencer le litige en cours entre les plateformes susmentionnées et les juridictions autrichiennes, jetant ainsi une lumière critique sur les restrictions nationales potentiellement préjudiciables au marché intérieur de l’Union européenne.

Consultez ici le communiqué de presse de la CJUE : COMMUNIQUE DE PRESSE n° 98/23

Depuis 2020, Cybermalveillance.gouv.fr constate une forte croissance de l’hameçonnage par SMS et cette tendance ne fait que s’accentuer. L’hameçonnage ou phishing par SMS, également appelé « smishing » (contraction de « SMS » et « phishing » en anglais), est une méthode utilisée par les cybercriminels pour tromper leurs victimes en usurpant l’identité d’un tiers connu, comme des administrations, des banques, des services de livraison ou des services en ligne.

Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court qui incite les victimes à communiquer des informations personnelles, des données bancaires ou même des identifiants de connexion. Les cybercriminels peuvent également tenter d’infecter le téléphone mobile de la victime avec une application malveillante ou l’inciter à rappeler un numéro pour l’escroquer.

Les cybercriminels profitent en effet, du développement des services d’information par SMS adoptés par les administrations, les banques, les sociétés de livraison et d’autres organismes pour usurper leur identité via ce canal de communication plus aisés pour eux :

• les SMS frauduleux sont souvent rédigés de manière concise ;
• ils utilisent un langage courant, évitant ainsi les fautes d’orthographe ou de syntaxe ;
• l’expéditeur n’est identifiable que par un numéro de téléphone standard ou un intitulé sommaire, ce qui complique la vérification de l’authenticité de l’émetteur ;
• les notifications instantanées et la réactivité associées aux téléphones mobiles incitent les utilisateurs à réagir rapidement aux messages reçus, sans toujours se méfier suffisamment.

Concrètement, les victimes reçoivent un SMS qui semble provenir d’une administration, d’une entreprise de livraison, d’une banque, d’un opérateur, etc. Le message incite systématiquement la victime à réaliser une action. Les messages sont souvent alarmants et créent un sentiment d’urgence.

Les SMS d’hameçonnage peuvent avoir différentes finalités. Certains visent à voler des informations personnelles, des données bancaires ou des identifiants de connexion. D’autres tentent d’infecter le téléphone de la victime avec un virus en incitant à l’installation d’une application malveillante. Certains messages incitent simplement la victime à rappeler un numéro, qui peut être surtaxé, pour mener une escroquerie supplémentaire.

Et si vous êtes victime d’hameçonnage par SMS :

• contactez directement l’administration ou l’entreprise censée l’avoir envoyé pour confirmer l’authenticité du message ;
• faites immédiatement opposition si vous avez communiqué des informations sensibles ou si vous constatez des activités frauduleuses sur vos comptes ;
• conservez les preuves, comme le message frauduleux et les informations du site Internet visité.
• signalez les opérations frauduleuses à votre banque et administration et déposez plainte auprès des autorités compétentes et auprès de la plateforme Perceval du ministère de l’Intérieur.

En conclusion, l’hameçonnage par SMS représente une menace croissante pour les utilisateurs de téléphones mobiles. Restez vigilant face aux SMS suspects, ne communiquez jamais vos informations personnelles ou bancaires à moins d’être certain de l’authenticité du message et suivez les conseils de sécurité pour vous protéger contre ces attaques.

NB : si vous êtes un particulier vous pouvez être accompagné gratuitement par l’association de France Victimes au 116 006 (appels et services gratuits) numéro d’aide aux victimes du ministère de la Justice. Vous pouvez également être accompagnez par la plateforme Info Escroquerie du ministère de l’Intérieur ay 0 805 805 817 (appels et services gratuits).  

Consultez ici l‘article de cybermalveillance.gouv.fr : Le « Smishing » ou hameçonnage par sms

Par une délibération du 11 mai 2023, la CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le consentement des personnes à la collecte et l’utilisation de leurs données de santé, et pour ne pas avoir respecté les règles sur les cookies.

A noter que l’amende a été prise en coopération avec l’ensemble de ses homologues européens compte tenu du fait que le site web de la société a des utilisateurs dans toute l’Europe.

Au titre des manquements reprochés, la CNIL a en effet relevé que :

• les durées de conservation des données issues des tests réalisés en ligne par les internautes, susceptibles de comprendre des données en lien avec la santé, étaient excessives compte tenu du strict besoin de la société pour les exploiter et en livrer les résultats ;
• aucun avertissement particulier, ni mécanisme de recueil du consentement sur les tests en ligne, alors même qu’ils collectaient des données de santé considérées comme particulièrement sensibles au regard du RGPD, n’était mis en place ;
• la relation contractuelle avec les responsables conjoints de traitement des données n’était pas formalisée dans un document autonome alors même ce document est exigé pour répartir les obligations de chacun ;
• la sécurisation des données traitées et des mots de passe des utilisateurs était défaillante.

A titre « accessoire », la CNIL a également relevé des manquements de la société à ses obligations liées à l’utilisation des cookies.

Parce que les données de santé sont des données personnelles particulières, considérées comme sensibles, elles font à ce titre l’objet d’une protection particulière par le RGPD, mais aussi par la Loi Informatique et Libertés et le Code de la santé publique, ceci de garantir le respect de la vie privée des personnes. Aussi, la présente sanction n’est donc pas surprenante.

Le rapport annuel d’activité de la CNIL pour 2022 récemment publié montre d’ailleurs toute l’attention particulière que la Commission apporte au traitement de ce type de données personnelles.

Consultez ici l’intégralité des documents : Délibération de la formation restreinte n° SAN-2023-006 du 11 mai 2023 concernant la société Doctissimo ; Rapport annuel d’activité de la CNIL pour 2022

A la question : l’exercice par la personne concernée du droit d’accès à ses données personnelles traitées oblige-t-il le responsable de traitement à lui communiquer une copie fidèle de l’ensemble des informations et documents en sa possession qui comportent ces données ?

Dans un arrêt récent, la Cour de justice de l’UE répond OUI !

En effet, si elle ne reconnait pas le droit d’obtenir une copie des données, ainsi que le prévoit l’article 15 §3 du RGPD, comme un droit distinct de celui de pouvoir y accéder, elle précise cependant que :

• le droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ;
• ce droit d’accès est en outre nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, les autres droits qu’elle détient en vertu du règlement (rectification, effacement, limitation du traitement, opposition…) ;
• partant, la copie des données à caractère personnel faisant l’objet d’un traitement doit donc présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits et doit par conséquent reproduire intégralement et fidèlement ces données.

En conclusion : le droit pour la personne concernée d’obtenir de la part du responsable du traitement une copie de ses données à caractère personnel faisant l’objet d’un traitement, dans le cadre de l’exercice de son droit d’accès, implique qu’il lui soit remis une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui peut nécessiter de lui communiquer la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, dès lors que la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD.

Consultez ici l’intégralité du document : CJUE, 4 mai 2023, affaire C-487/21

Facebook, par le biais de sa filiale Meta Platforms Ireland Limited (Meta IE), a été sévèrement sanctionné par une amende de 1,2 milliard d’euros, suite à des pratiques illégales de transfert de données personnelles vers les États-Unis. Le Comité européen de protection des données (CEPD) a dénoncé cette infraction grave et a ordonné à Facebook de mettre fin à ses pratiques non conformes au RGPD.

Dans une décision sans appel rendue le 13 avril 2023, le CEPD a conclu que Meta IE avait délibérément enfreint les règles de protection des données en transférant massivement et de manière récurrente des données personnelles vers les États-Unis depuis le 16 juillet 2020, en utilisant des clauses contractuelles types (CCT). En conséquence, Facebook a été frappé d’une amende sans précédent de 1,2 milliard d’euros par l’autorité irlandaise de protection des données, qui est compétente en tant qu’autorité de contrôle principale.

Andrea Jelinek, présidente du CEPD, a souligné la gravité de cette infraction en déclarant que Facebook compte des millions d’utilisateurs en Europe et que le volume de données personnelles transférées est colossal. Cette amende record a pour objectif d’envoyer un message fort aux entreprises, les avertissant des conséquences sévères qui les attendent en cas de violations graves des règles de protection des données.

En plus de l’amende, Facebook est contraint de se conformer au RGPD en révisant ses pratiques de transfert de données. L’autorité irlandaise de protection des données a reçu pour mission de revoir sa décision initiale afin de refléter cette sanction. Facebook devra cesser immédiatement tout traitement illégal de données, y compris le stockage aux États-Unis, en violation flagrante du RGPD, dans un délai de 6 mois à compter de la notification de la décision finale.

Il est important de souligner que la décision de l’autorité irlandaise repose sur l’avis juridique du CEPD, qui avait émis une décision contraignante après que plusieurs autorités de contrôle européennes aient exprimé leurs objections quant aux transferts illégaux de données effectués par Facebook. Certaines de ces autorités avaient même réclamé des sanctions financières supplémentaires et des injonctions pour obliger Facebook à se conformer aux règles de protection des données.

Cette amende record infligée à Facebook met en lumière la nécessité pour les géants technologiques de respecter les droits fondamentaux des utilisateurs et de se conformer scrupuleusement aux dispositions du RGPD en matière de transferts de données.

Il s’agit d’un avertissement sans équivoque adressé à toutes les entreprises du secteur, les enjoignant de se plier aux lois en vigueur pour préserver la confidentialité et la sécurité des données personnelles des utilisateurs européens.

Consultez ici l’intégralité de la décision en anglais : Decision-12thmay2023-DPC

A la question : l’exercice par la personne concernée du droit d’accès à ses données personnelles traitées oblige-t-il le responsable de traitement à lui communiquer une copie fidèle de l’ensemble des informations et documents en sa possession qui comportent ces données ?

Dans un arrêt récent, la Cour de justice de l’UE répond OUI !

En effet, si elle ne reconnait pas le droit d’obtenir une copie des données, ainsi que le prévoit l’article 15 §3 du RGPD, comme un droit distinct de celui de pouvoir y accéder, elle précise cependant que :

• le droit d’accès doit permettre à la personne concernée de s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite ;
• ce droit d’accès est en outre nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, les autres droits qu’elle détient en vertu du règlement (rectification, effacement, limitation du traitement, opposition…) ;
• partant, la copie des données à caractère personnel faisant l’objet d’un traitement doit donc présenter l’ensemble des caractéristiques permettant à la personne concernée d’exercer effectivement ses droits et doit par conséquent reproduire intégralement et fidèlement ces données.

En conclusion : le droit pour la personne concernée d’obtenir de la part du responsable du traitement une copie de ses données à caractère personnel faisant l’objet d’un traitement, dans le cadre de l’exercice de son droit d’accès, implique qu’il lui soit remis une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui peut nécessiter de lui communiquer la copie d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, lesdites données, dès lors que la fourniture d’une telle copie est indispensable pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par le RGPD.

Consultez ici l’intégralité du document : CJUE, 4 mai 2023, affaire C-487/21

Le projet de fusion entre la carte d’identité et la carte Vitale pour combattre la fraude sociale suscite des inquiétudes quant à la protection des données personnelles. Malgré les recommandations de la CNIL, le gouvernement persiste malgré tout dans cette voie, suscitant des interrogations sur les risques potentiels et les alternatives non explorées.

Le ministre des Comptes publics a en effet récemment annoncé un projet de fusion de la carte d’identité et de la carte Vitale afin de lutter contre la fraude sociale dans le domaine des prestations de soins. Cependant, cette initiative soulève de sérieuses préoccupations de la part de la CNIL en matière de protection des données personnelles.

Dans une lettre datée du 13 mars dernier, la CNIL a rappelé que le numéro de sécurité sociale (NIR) est une donnée hautement sensible, propre à chaque citoyen français. Elle a souligné la nécessité d’une évaluation minutieuse de la fraude sociale et de l’adoption de réponses proportionnées et efficaces. Malgré ces mises en garde, le gouvernement a néanmoins opté pour l’intégration du NIR dans la carte d’identité électronique, un choix qui, selon la CNIL, présente toutefois le moins de risques et d’intrusions au regard des divers scénarios proposés.

La CNIL a formulé plusieurs recommandations pour garantir la protection des données personnelles. Elle insiste sur la nécessité de cloisonner le NIR dans un compartiment sécurisé de la puce électronique de la carte d’identité, accessible uniquement aux acteurs médicaux et médico-sociaux. De plus, des mesures de sécurité supplémentaires doivent être mises en place pour éviter toute divulgation du NIR à des tiers non autorisés.

Cependant, la CNIL reste sceptique quant à l’utilisation d’une carte Vitale biométrique. Elle souligne les difficultés de déploiement chez les professionnels de santé, les risques liés à la sensibilité des données et les menaces potentielles d’attaques informatiques visant à obtenir les données biométriques des assurés sociaux. De plus, l’utilisation d’une telle carte pourrait compromettre les délégations de la carte Vitale, affectant ainsi la prise en charge de certaines personnes.

Cette initiative soulève également des inquiétudes quant à la protection des droits individuels et à la vie privée des citoyens. La CNIL insiste sur la nécessité de préserver le choix des assurés sociaux de ne pas inscrire leur numéro de sécurité sociale sur leur carte d’identité et de maintenir des alternatives à l’utilisation de la carte d’identité.

Consultez ici le communiqué de la CNIL : Les points d’attention de la CNIL concernant la protection des données