Cet été, le site lcb-ft.fr s’est fait le relai d’une actualité de la CNIL qui n’a pas qui n’a pas fait la Une malgré l’enjeu important, il nous semblait donc pertinent de reparler de ce sujet ! Le traitement des données à des fins de Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme (LCB-FT) est un sujet complexe qui soulève des questions sur la protection des données personnelles. Récemment, le Conseil de l’Europe a publié des lignes directrices visant à éclaircir ce domaine sensible.

Les entités assujetties à la réglementation LCB-FT, qu’elles soient des institutions étatiques, des services répressifs, des autorités judiciaires ou des acteurs privés, collectent et enregistrent de nombreuses données à caractère personnel dans le cadre de leurs obligations de connaissance de la clientèle, de surveillance des opérations et d’application de mesures restrictives.

Bien que la collecte de ces données soit justifiée par des obligations règlementaires dans l’intérêt public, elle doit également respecter les obligations de protection des données. Les lignes directrices du Conseil de l’Europe cherchent à équilibrer ces deux impératifs qui semblent parfois contradictoires.

La Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel, également connue sous le nom de “Convention 108+” vise à intégrer aux obligations réglementaires en matière de LCB-FT, les principes et exigences formulées par le RGPD.

Les grandes lignes de ces lignes directrices rappellent que la collecte de données à des fins de LCB-FT doit se limiter à un intérêt public strictement défini et éviter une collecte excessive. Les directives abordent également la question d’un registre national des bénéficiaires effectifs, récemment débattu.

Les directives soulignent l’importance de respecter les principes fondamentaux de la protection des données, notamment la collecte explicite et déterminée, le consentement des personnes concernées, la loyauté et la transparence du traitement, la minimisation des données, l’exactitude des données, la limitation de la conservation en termes de quantité et de temps, ainsi que les exigences de sécurité et de confidentialité.

Ces directives fournissent des recommandations précieuses pour guider les entités assujetties à la LCB-FT dans la gestion des données, en mettant l’accent sur le respect des principes de protection des données tout en se conformant aux exigences de la LCB-FT. D’autant plus que les réglementations ne sont pas antinomiques, elles peuvent être vues comme complémentaires en permettant de rationaliser les processus et réduire les coûts liés au traitement de données inutiles.

Consultez ici le communiqué de presse du Conseil de l’UE : Lignes Directrices sur la protection des données personnelles dans le traitement des données personnelles en matière de LCB-FT

Le 10 juillet dernier, la Commission européenne a pris une décision cruciale concernant les transferts de données vers les États-Unis. Cette décision d’adéquation déclare que les États-Unis assurent désormais un niveau de protection des données personnelles substantiellement équivalent à celui de l’Union européenne. Cela signifie que, sous certaines conditions, les transferts de données personnelles depuis l’UE vers les États-Unis peuvent se faire sans exigences supplémentaires.

Pour rappel, la précédente décision d’adéquation pour les États-Unis avait été invalidée en 2020 par la Cour de justice de l’Union européenne dans l’affaire Schrems II. La Cour avait estimé que les protections existantes n’étaient pas suffisantes, notamment en ce qui concerne l’accès des autorités américaines aux données personnelles.

En réponse, le gouvernement américain a renforcé les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement. Ce nouveau cadre a été soumis à l’évaluation de la Commission européenne.

Ce nouveau cadre pour les transferts de données UE-États-Unis repose sur des règles strictes visant à limiter l’accès aux données personnelles par les autorités de renseignement américaines. Il inclut un système d’auto-certification pour les entités américaines qui s’engagent à respecter ces règles.

Avec cette décision d’adéquation, les organismes soumis au RGPD peuvent désormais transférer des données vers des organismes certifiés aux États-Unis sans devoir mettre en place des outils de transfert spécifiques. Cependant, ils doivent s’assurer que l’organisme destinataire figure sur la liste des entités certifiées sur la Liste du Département du Commerce.

Si l’organisme destinataire aux États-Unis n’est pas certifié, des garanties appropriées supplémentaires doivent être mises en place. Cela peut se faire en utilisant des clauses contractuelles types ou d’autres outils prévus par le RGPD.

Les administrations et les collectivités locales peuvent également se baser sur cette décision d’adéquation pour leurs transferts de données vers des prestataires américains certifiés. Cependant, elles doivent respecter les mêmes règles de protection des données qu’explicitées ci-dessus.

La décision d’adéquation est entrée en vigueur le 10 juillet 2023. Elle restera en place jusqu’à ce qu’une modification, un remplacement ou une abrogation soit décidé par la Commission européenne, si le niveau de protection des données n’est plus jugé adéquat. Une première révision aura lieu dans un an, suivie de révisions périodiques.

Cette nouvelle décision d’adéquation ouvre la voie à des transferts de données plus fluides entre l’UE et les États-Unis en légalisant ce contexte transatlantique complexe. Cependant, malgré ces adaptations apportées au système américain de protection des données, beaucoup estiment ces nouvelles mesures inadaptées, permettant aux entreprises de contourner les exigences européennes de protection des données personnelles.

C’est pourquoi plusieurs associations et collectifs de protection des données s’attaquent déjà à cette décision afin de la faire invalider par la Cour de Justice de l’Union Européenne. Affaire à suivre …

Consultez ici le communiqué de presse de la CNIL : Adéquation des États-Unis : les premières questions-réponses

Le 10 juillet dernier, et après de longs mois de négociations après l’invalidation par la CJUE de la précédente décision, la Commission européenne a enfin adopté une nouvelle décision d’adéquation concernant le niveau de protection et de sécurité qu’offre les Etats-Unis en cas de transfert de données personnelles vers ce pays.

Par cette décision, la Commission européenne constate en effet que les modifications apportées par ces derniers assurent désormais un niveau de protection des données personnelles équivalent à celui de l’Union européenne (UE).

Il ressort néanmoins que les transferts de données personnelles depuis l’UE ne pourront librement être réalisés, sans encadrement spécifique, que vers certains organismes américains qui auront fait le choix de se soumettre au nouveau « Privacy Shield » et à ce titre auront fait la démarche de s’inscrire sur la liste mise en place et gérée par le ministère américain du commerce.

Cette liste sera prochainement rendue publique.

Consultez ici l’intégralité du document (en anglais) : Décision d’adéquation de la Commission européenne du 10 juillet 2023

La société CRITEO, spécialisée dans la publicité en ligne et le « reciblage » publicitaire, a été sanctionnée par la CNIL (Commission nationale de l’informatique et des libertés) d’une amende de 40 millions d’euros pour ne pas avoir vérifié le consentement des personnes dont elle traite les données. Cette décision fait suite à des plaintes déposées par les associations Privacy International et None of Your Business.

CRITEO utilise le « reciblage » publicitaire pour suivre la navigation des internautes et leur afficher des publicités personnalisées. Cependant, la CNIL a constaté plusieurs manquements lors de ses contrôles, notamment l’absence de preuve du consentement des utilisateurs, le manque d’information et de transparence, ainsi que le non-respect des droits des personnes.

La CNIL a pris en compte plusieurs facteurs pour déterminer le montant de l’amende. CRITEO traite un très grand nombre de données et collecte une quantité importante d’informations sur les habitudes de consommation des internautes. La société a également un modèle économique qui repose sur la collecte et le traitement massif de données. En traitant les données sans preuve de consentement valable, CRITEO a pu augmenter indûment le nombre de personnes concernées par ses traitements et ainsi accroître ses revenus publicitaires.

La CNIL a relevé cinq manquements au RGPD (Règlement général sur la protection des données) de la part de CRITEO, en effet elle n’a pas :

• vérifié le consentement des internautes lors du dépôt du traceur CRITEO, utilisé pour cibler les publicités, ni mis en place de mesures pour s’assurer que ses partenaires recueillent valablement le consentement des utilisateurs ;
• une politique de confidentialité complète, certaines finalités sont formulées de manière vague ;
• toutes les données demandées lors de l’exercice du droit d’accès ;
• correctement traité les demandes de retrait du consentement et d’effacement des données ;
• un accord contraignant complet entre les responsables conjoints de traitement.

Suite à cette décision, transmise aux autorités de contrôle européennes, la société CRITEO a modifié ses contrats avec les partenaires pour inclure une clause sur la preuve du consentement des utilisateurs. Sa politique de confidentialité a été complétée et simplifiée, et des mesures ont été prises pour permettre aux personnes d’exercer leurs droits plus facilement.

Consultez ici l’intégralité de la décision de la CNIL : Délibération SAN-2023-009 du 15 juin 2023

Récemment un litige s’est ouvert entre les plateformes Google, Meta, Tik Tok et les autorités autrichiennes, après que l’autorité autrichienne de régulation des communications, ait déclaré que la loi autrichienne de 2020 sur la protection des utilisateurs des plateformes de communication leur était applicable, quand bien même celles-ci sont établies en Irlande.

La loi autrichienne en question vise en effet à renforcer la responsabilité des plateformes de communication, en exigeant des fournisseurs, qu’ils soient basés en Autriche ou à l’étranger, de mettre en place un système de notification et de vérification des contenus potentiellement illicites, ainsi que de publier régulièrement des rapports sur le traitement de ces signalements.

Cependant, Google, Meta Platforms et Tik Tok soutiennent que cette loi est incompatible avec la directive sur le commerce électronique, en particulier eu égard au principe du pays d’origine.

La question préjudicielle a donc été posée à la CJUE.

Dans cet avis récent, l’avocat général Maciej Szpunar souligne ainsi que la directive sur le commerce électronique interdit en principe aux États membres de restreindre la libre circulation des services de la société de l’information provenant d’autres États membres.

Selon lui, les dérogations à ce principe ne peuvent être appliquées que de manière spécifique, au cas par cas, après notification préalable à la Commission européenne et demande à l’État membre d’origine d’intervenir. Il estime également qu’une disposition générale et abstraite qui s’applique à tous les prestataires de services de la société de l’information serait contraire à l’objectif de suppression des obstacles juridiques au bon fonctionnement du marché intérieur.

En conclusion, l’avocat général affirme que la directive sur le commerce électronique s’oppose à la restriction de la libre circulation des services de la société de l’information d’un autre État membre dans de telles circonstances et de cette manière. Ses conclusions sont susceptibles d’influencer le litige en cours entre les plateformes susmentionnées et les juridictions autrichiennes, jetant ainsi une lumière critique sur les restrictions nationales potentiellement préjudiciables au marché intérieur de l’Union européenne.

Consultez ici le communiqué de presse de la CJUE : COMMUNIQUE DE PRESSE n° 98/23

Depuis 2020, Cybermalveillance.gouv.fr constate une forte croissance de l’hameçonnage par SMS et cette tendance ne fait que s’accentuer. L’hameçonnage ou phishing par SMS, également appelé « smishing » (contraction de « SMS » et « phishing » en anglais), est une méthode utilisée par les cybercriminels pour tromper leurs victimes en usurpant l’identité d’un tiers connu, comme des administrations, des banques, des services de livraison ou des services en ligne.

Sous cette fausse identité et avec un faux prétexte, l’hameçonnage par SMS consiste à émettre un message court qui incite les victimes à communiquer des informations personnelles, des données bancaires ou même des identifiants de connexion. Les cybercriminels peuvent également tenter d’infecter le téléphone mobile de la victime avec une application malveillante ou l’inciter à rappeler un numéro pour l’escroquer.

Les cybercriminels profitent en effet, du développement des services d’information par SMS adoptés par les administrations, les banques, les sociétés de livraison et d’autres organismes pour usurper leur identité via ce canal de communication plus aisés pour eux :

• les SMS frauduleux sont souvent rédigés de manière concise ;
• ils utilisent un langage courant, évitant ainsi les fautes d’orthographe ou de syntaxe ;
• l’expéditeur n’est identifiable que par un numéro de téléphone standard ou un intitulé sommaire, ce qui complique la vérification de l’authenticité de l’émetteur ;
• les notifications instantanées et la réactivité associées aux téléphones mobiles incitent les utilisateurs à réagir rapidement aux messages reçus, sans toujours se méfier suffisamment.

Concrètement, les victimes reçoivent un SMS qui semble provenir d’une administration, d’une entreprise de livraison, d’une banque, d’un opérateur, etc. Le message incite systématiquement la victime à réaliser une action. Les messages sont souvent alarmants et créent un sentiment d’urgence.

Les SMS d’hameçonnage peuvent avoir différentes finalités. Certains visent à voler des informations personnelles, des données bancaires ou des identifiants de connexion. D’autres tentent d’infecter le téléphone de la victime avec un virus en incitant à l’installation d’une application malveillante. Certains messages incitent simplement la victime à rappeler un numéro, qui peut être surtaxé, pour mener une escroquerie supplémentaire.

Et si vous êtes victime d’hameçonnage par SMS :

• contactez directement l’administration ou l’entreprise censée l’avoir envoyé pour confirmer l’authenticité du message ;
• faites immédiatement opposition si vous avez communiqué des informations sensibles ou si vous constatez des activités frauduleuses sur vos comptes ;
• conservez les preuves, comme le message frauduleux et les informations du site Internet visité.
• signalez les opérations frauduleuses à votre banque et administration et déposez plainte auprès des autorités compétentes et auprès de la plateforme Perceval du ministère de l’Intérieur.

En conclusion, l’hameçonnage par SMS représente une menace croissante pour les utilisateurs de téléphones mobiles. Restez vigilant face aux SMS suspects, ne communiquez jamais vos informations personnelles ou bancaires à moins d’être certain de l’authenticité du message et suivez les conseils de sécurité pour vous protéger contre ces attaques.

NB : si vous êtes un particulier vous pouvez être accompagné gratuitement par l’association de France Victimes au 116 006 (appels et services gratuits) numéro d’aide aux victimes du ministère de la Justice. Vous pouvez également être accompagnez par la plateforme Info Escroquerie du ministère de l’Intérieur ay 0 805 805 817 (appels et services gratuits).  

Consultez ici l‘article de cybermalveillance.gouv.fr : Le « Smishing » ou hameçonnage par sms