Actualités
14/09/2022
Nouvelle sanction de la CNIL. Le 8 septembre 2022, GIE INFOGREFFE est condamné à une amende de 250 000 euros. Deux manquements au RGPD lui sont reprochés.
● La conservation des données. Bien que sa Charte de confidentialité prévoie la conservation des données personnelles durant 36 mois à compter de la dernière commande, 25% des comptes ont été conservés au-delà sans être anonymisés et aucune procédure de suppression automatique n’a été mise en place.
● La sécurité des données. La CNIL, en référence aux recommandations de l’ANSSI, relève la robustesse insuffisante des mots de passe face à des attaques par « force brute » (8 caractères sans critère de complexité ni mesure de sécurité complémentaire), ainsi que leur conservation et transmission en clair par courriel, présentant un risque de captation par des tiers de données immédiatement utilisables. La CNIL reproche aussi l’absence de notification à l’utilisateur de la modification de son mot de passe, et donc d’une éventuelle tentative d’usurpation de son compte.
09/09/2022
Rapport de la Direction Générale du Trésor sur l'assurance des cyber-risques. Tous les baromètres désignent une augmentation des cyberattaques. 54% des entreprises françaises ont été attaquées en 2021. Une entreprise qui subit une cyberattaque double son risque de défaillance.
● Le marché de l’assurance du risque cyber demeure limité en France (3,1% des cotisations de l’assurance des dommages aux biens des professionnels en 2021) mais en forte augmentation en 2021 (+52%) avec un durcissement marqué des conditions d’assurance pour les grandes entreprises.
Le rapport constate :
● des incertitudes juridiques fortes sur : l’assurabilité du paiement des cyber-rançons ; l’assurabilité des sanctions administratives (sanctions CNIL par exemple) ; l’applicabilité de l’exclusion légale pour cause de guerre aux cyberguerres ;
● une rédaction déficiente des polices d’assurances avec une insécurité sur les garanties souscrites et les exclusions applicables.05/09/2022
Le décret n°2022-1212 du 2 septembre 2022 fixe au lundi 5 septembre 2022 l'entrée en vigueur de la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet.
● La loi a introduit un article L.34-9-3 dans le code des postes et des communications électroniques qui impose la mise en place dans les équipements terminaux d’un dispositif permettant de restreindre ou contrôler l’accès aux mineurs à des contenus « susceptibles de nuire à l’épanouissement physique, mental ou moral ».
Les fabricants et distributeurs doivent s’assurer que le dispositif certifié par leurs soins est proposé dès la première mise en service, intégré par les systèmes d’exploitation et que son utilisation n’impose aucun surcoût pour les utilisateurs.
● Les données à caractère personnel des mineurs collectées à l’occasion de l’utilisation de ce dispositif ne peuvent être utilisées à des fins commerciales (marketing direct, profilage et publicité ciblée).
L’obligation ne s’applique pas aux équipements mis sur le marché sans système d’exploitation.02/09/2022
Pendant l’été 2022, la CNIL a prononcé des sanctions pécuniaires à l’encontre de deux entreprises.
Le 7 juillet : 175 000 euros à l’encontre de Ubeeqo pour :
● Absence de minimisation des données
● Durée de conservation excessive des données
● Manquement à l’obligation d’information des personnes
Le 3 août : 600 000 euros à l’encontre d’Accor pour :
● Défaut de consentement à la prospection commerciale
● Manquement à l’obligation d’information des personnes
● Non respect du droit d’accès et d’opposition
● Défaut de sécurité des données
L’occasion pour NEXT de vous proposer son tableau de bord à jour des sanctions CNIL.31/08/2022
Le Conseil d’Etat confirme qu’il n’y a pas besoin de notifier à la CNIL une fuite de données que la CNIL vous notifie…
Après signalement sur un site d’information en ligne d’images médicales de patients librement accessibles sur des serveurs informatiques , accompagnées des noms, prénoms, dates de naissances, dates de réalisation de l’examen et noms des praticiens concernés, la CNIL a procédé à des contrôles en ligne.
La CNIL a ensuite avisé un chirurgien orthopédiste dont les données des patients étaient ainsi divulguées et du contrôle opéré.
Deux manquements au RGPD ont été retenus à son endroit par la CNIL :
● Elle reprochait au responsable de traitement de ne pas l’avoir notifié de la violation de données à caractère personnel. Dans sa décision du 22 juillet 2022, la Haute juridiction administrative ramène la CNIL à la raison en lui indiquant qu’elle ne peut exiger du responsable de traitement de lui notifier une violation de données… dont elle a elle-même informé le responsable de traitement par courriel.
● Pour le reste, le Conseil d’État confirme le caractère défaillant de l’installation informatique du praticien, en raison de la configuration de son réseau informatique interne et de l’absence de chiffrement des données médicales devant recevoir des mesures de sécurité renforcées.
La sanction prononcée par la CNIL a été réduite de 3000 à 2500 euros par le Conseil d’État dans son arrêt du 22 juillet 2022.26/08/2022
Le décret n°2022-1084 du 29 juillet 2022 sur la mise en place d’une stratégie numérique responsable par les communes instaurent des obligations en matière de « GREEN IT ».
● Sur qui pèsent les nouvelles obligations ?
- Les communes de plus de 50 000 habitants
- Les établissements publics de coopération intercommunale à fiscalité propre de plus de 50 000 habitants
● Quelles échéances pour quelles obligations ?
● Avant le 1er janvier 2023 : Réalisation d’un « programme de travail ». Il doit comprendre :
- un bilan de l’impact environnemental du numérique et de ses usages sur le territoire concerné,
- une synthèse des solutions engagées pour atténuer cet impact, le cas échéant.
● Avant le 1er janvier 2025 : Etablissement d’une « stratégie numérique responsable ». Elle devra indiquer :
- les objectifs de réduction de l’empreinte numérique du territoire concerné,
- les indicateurs de suivi associés,
- les mesures mises en place pour y parvenir,
- et les moyens d’y satisfaire.
● Le décret fournit une liste d’objectifs pouvant être intégrés à la stratégie.
Pour les équipements informatiques :
- une commande publique locale et durable, dans une démarche de réemploi, de réparation et de lutte contre l'obsolescence,
- une gestion durable et de proximité du cycle de vie du matériel informatique.
Pour les logiciels : Ecoconception des sites et des services numériques.
Pour la formation : Mise en place d'une politique de sensibilisation au numérique responsable et à la sécurité informatique à destination des élus et agents publics.
● Et d’autres engagements de droit mou, dont les contours sont flous et peu engageants :
- Mise en place d'une démarche numérique responsable auprès de tous afin de sensibiliser les citoyens aux enjeux environnementaux du numérique et de l'inclusion numérique ;
- Mise en place d'une démarche de territoire connecté et durable en lien avec une démarche d'ouverture et de valorisation des données.
● Un bilan annuel sur la stratégie numérique responsable devra être présenté avant les débats sur le projet de budget, dans le cadre du rapport sur la situation en matière de développement durable.
● Quelles sanctions en cas de non-respect des exigences nouvelles? Aucune n’est expressément prévue…
Un démarrage…. en douceur donc.
● Quels chantiers juridiques mener ? Outre la formalisation des « Programmes » et « Stratégies », les collectivités devront veiller à adapter leurs marchés de services informatiques et à prévoir un suivi des indicateurs mis en place, avec sanctions contractuelles en cas de non respect.26/07/2022
Wish est un site de eCommerce édité par la société de droit américain ContextLogic Inc. dont la DGCCRF a constaté qu’il commercialisait des produits pour la plupart importés, avec un taux de dangerosité élevé (jouets : 95 % non conformes, dont 45% dangereux; appareils électriques : 95 % non conformes, dont 90% dangereux). Par ailleurs, Wish n’effectuait pas les retraits ni les rappels de produits tel qu’il incombe aux distributeurs.
Le 15 juillet 2021, la DGCCRF a donc enjoint à Wish de se mettre en conformité sous deux mois. La DGCCRF a pris acte d’un défaut d’exécution, et, par décision du 23 novembre 2021, elle enjoignait cette fois à Apple, Google, Qwant et Microsoft de déréférencer l’adresse « wish. com » et l’application « Wish » de leurs moteurs de recherche et magasins d’applications au fondement de l’article L.521-3-1, 2°, a) du code de la consommation.
Ce texte, introduit par une loi de décembre 2020, prévoit cette possibilité pour la DGCCRF d'ordonner le déréférencement de contenus manifestement illicites, notamment lorsque l’infraction constatée est de nature à porter une atteinte grave à la loyauté des transactions ou à l’intérêt des consommateurs.
ContextLogic Inc. a demandé au Conseil d’État l’annulation de l’ordonnance de référé qui l’avait déboutée de son recours contre la décision de la DGCCRF, et la transmission au Conseil constitutionnel d’une QPC relative à ladite disposition. Le Conseil d’Etat y a fait droit dans une décision du 22 juillet 2022 et renvoie au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution de l'article litigieux du code de la consommation.
Selon le Conseil d’Etat, « la question porte un caractère sérieux tenant aux atteintes à la liberté d’entreprendre, d’expression et de communication ».
25/07/2022
Le CSPLA a publié le 12 juillet 2022 son rapport riche de 95 pages sur les NFT et leur place dans le secteur culturel. Le rapport rejoint l’analyse qu’Etienne Papin développait à la Revue Lamy Droit de l’Immatériel en décembre dernier lorsqu’il conclut qu'un jeton non fongible (JNF ou NFT) « est assimilable à un bien meuble incorporel, qui correspond à un titre de propriété sur le jeton inscrit dans la blockchain, auquel peuvent être associés d’autres droits sur le fichier numérique vers lequel il pointe ». Le NFT est le titre de propriété du fichier numérique auquel il se rapporte et cette propriété ne porte pas, en général, sur la propriété intellectuelle de l’oeuvre reproduite dans le fichier. Le rapport s’interroge également sur la rémunération des auteurs par un droit de suite, qui impliquerait un nombre limité d’exemplaires, et le régime de responsabilité des plateformes de type OpenSea ou SuperRare.22/07/2022
La CNIL a prononcé dans une décision du 7 juillet 2022 une amende de 175 000 euros à l’encontre de la société Ubeeqo International ayant pour activité la location de véhicules pour une courte durée. Divers manquements lui sont reprochés en tant que responsable de traitement :
● Minimisation des données : la géolocalisation du véhicule tous les 500 mètres, lorsque le moteur s’allume et se coupe ou lorsque que les portes s’ouvrent et se ferment, est disproportionnée au regard des finalités présentées. Pour la gestion du parc de véhicules, la simple géolocalisation tirée du démarrage, de l’extinction du moteur ou de l’appel du client pouvait suffire.
En cas de vol ou d’accident, la géolocalisation du véhicule doit être rendue nécessaire par un fait générateur, respectivement une suspicion de vol ou une demande d’assistance.
● Conservation des données : la CNIL reproche à la société de prendre en compte la fin de la relation commerciale pour faire débuter la durée de conservation de 3 ans, alors que les données collectées sont liées à chaque contrat de location d’un véhicule. La politique de conservation des données n’était d’ailleurs pas effectivement respectée, des données relatives à des utilisateurs inactifs depuis plus de 8 ans étant stockées. Au titre de procédures liées au vol d’un véhicule ou à un accident, l’autorité admet le stockage de certaines données pour une durée adéquate.
● Information des personnes : le formulaire d’inscription adressé aux consommateurs renvoyait aux conditions générales et ne permettait pas un accès direct aux informations obligatoires relatives à la protection des données.
