12/02/2024

RGPD. Le Conseil d’État a confirmé le refus opposé par une association diocésaine à un homme qui demandait l’effacement et l’opposition au traitement de ses données sur un registre de baptême :

- la mention de données personnelles sur le registre des baptêmes ne constitue pas un traitement illicite ;
- la conservation de ces données jusqu'au décès de la personne est nécessaire pour les finalités du traitement, à savoir que le baptême ne peut être reçu qu’une fois, exigence à laquelle pourrait être faire obstacle l’effacement définitif ;
- l’intérêt de l'Église, à la conservation des données est un motif légitime impérieux, prévalant sur l'intérêt moral du demandeur, au regard de l'objet du registre et des conditions de consultation (registre non dématérialisé, dans un lieu clos, accessible à peu de personnes, etc.) ;
- le droit d’opposition est satisfait, par l’ajout d’une mention, en marge du registre, exprimant la volonté de l’intéressé de renoncer à tout lien avec l’Église catholique.

Conseil d'Etat, 2 février 2024 - n°461093

05/02/2024

Qui veut noyer son chien l’accuse de la rage. Ainsi peut être résumée la décision de la #CNIL du 21 décembre 2023, publiée il y a quelques jours, et qui fait beaucoup parler d’elle.

Dans cette décision, la CNIL autorise le GIP Plateforme des Données de Santé, plus connu sous sa dénomination en Anglais « Health Data Hub » (HDH), à héberger des données de santé sur le service #cloud de #Microsoft Ireland Opérations Ltd.

● De quelles données de santé parle-t-on ?

Il s’agit de données pseudonymisées issues :

- des dossiers médicaux des patients ayant été hospitalisés en médecine, chirurgie ou obstétrique depuis 2022 dans 4 hôpitaux partenaires du HDH.
- du Système National des Données de Santé et notamment de l’Assurance Maladie.

● Pourquoi Microsoft pose problème ?

Filiale irlandaise d’une société américaine, le CNIL rappelle que « les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ». C’est presqu’un lieu commun que de le rappeler.

Fort de ce constat, la CNIL rappelle également sa doctrine qui veut que « pour les bases de données les plus sensibles » il est préconisé « de recourir à un prestataire exclusivement soumis au droit européen ». Cette préconisation avait toujours été respectée dans le cadre d’entrepôts de données de santé.

● Pourquoi la CNIL change de doctrine ?

Selon un avis technique rendu par un comité d’expert, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet ».

Et la CNIL de conclure, à contre coeur : « pour autant (…) il est nécessaire que les engagements pris vis-à-vis de l’EMA puissent être honorés. Dans ces conditions, elle autorise la constitution de l’entrepôt ».

● Quels sont les « engagements vis-à-vis de l’EMA » (European Medicines Agency) en question ?

Il faut s’armer de patience pour trouver sur internet que, à la suite d’un appel d’offres lancé par l’Agence Européenne du Médicament (EMA) intitulé « Real World Data Subscription - Hospital Database from any EU/EEA Country », le HDH a été attributaire en décembre 2021 d’un marché portant sur le lot 3 ainsi résumé « Access to and use of a hospital database from any EU/EEA country; the database should provide data from hospital electronic health care records or hospital drug utilisation or prescription records available at the individual-patient level; to be of a sufficient sample size, the database should cover several hospitals or an established network of hospitals ».

En creusant encore, on peut encore trouver (i) les spécifications techniques du marché et (ii) le projet de contrat de service conclu entre l’EMA et l’HDH.

Rien dans ces documents qui ne puisse faire la lumière sur la nécessité qu’il y aurait à conclure avec un groupe américain pour remplir les objectifs du marché. Au contraire, les documents du marché rappellent « Processing of personal data in connection with this service must comply with Union data protection legislation, in particular, Regulation (EU) 2016/679 (General Data Protection Regulation) ».

Si, comme le disent les experts, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet », les exigences du HDH étaient-elles nécessaires pour répondre au marché conclu avec l’EMA ?

● Ce que l’on peut conclure

La décision de la CNIL est surprenante à plusieurs titres.

Politique : il y a peu de chances que la France et l’Europe rattrapent leur retard technologique s’il suffit de se dire que l’Amérique peut pourvoir à tout, tout le temps, tout de suite et au juste prix.

Technique : sans aucune prétention de compétence en la matière, on reste dubitatif devant l’affirmation selon laquelle il ne saurait y avoir en France ou en Europe aucune entreprise pouvant répondre aux besoins fonctionnels et techniques résultant du lot 3 de l’appel d’offres de l’EMA.

Juridique : et c’est dans ce domaine qu’on s’autorise à avoir un avis. L’incapacité (déclarée) de ne pouvoir faire autrement pour respecter ses engagements et l’impossibilité (affirmée) à trouver une solution technique européenne est la justification imparable au non respect du droit. Le RGPD doit ici se soumettre à un étonnant principe de réalité (voire de pseudo-réalité).

Espérons que le CNIL saura être aussi conciliante quand ce sera une société privée qui s’en prévaudra…

26/01/2024

Contrôle de l’activité des salariés. Retour sur la lourde sanction prononcée par la CNIL contre Amazon France Logistique (AFL) le 27 décembre 2023 pour les dispositifs de surveillance mis en œuvre dans ses entrepôts en France. Lors de ses contrôles, la CNIL a relevé que chaque salarié au sein des entrepôts était équipé d’un boîtier sur lequel il devait s’identifier et au moyen duquel il devait scanner des codes-barres des étiquettes pour chaque action accomplie : "réception" de colis, "rangement", "prélèvement" et "emballage".

La CNIL relève que, via ce dispositif, AFL "collecte en continu des données relatives à l’activité des salariés" et que "l’ensemble de ces données d’activité (…) sont associées à l’identité du salarié sous la forme d’indicateurs de productivité, de qualité et relatifs aux périodes d’inactivité."

La CNIL relève en particulier l’illicéité de 3 indicateurs mesurant en continu : ● La vitesse d’exécution des tâches à la seconde près en signalant "le rangement d’un article dans les 1,25 seconde du rangement de l’article précédent" et "en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde" ("Stow Machine") ;
● Les temps de latence supérieurs à 10 min d’inactivité sur une tâche dépourvus de justification apparente ("Idle times") ;
● Les temps d’inactivité inférieurs à 10 min "à des moments critiques de la journée", soit en début et fin de session de travail ainsi qu’avant et après les pauses.

L’ensemble de ces données étaient accessibles aux supérieurs hiérarchiques en temps réel et pendant 31 jours. La CNIL constate également la non-conformité de traitements de vidéosurveillance.

La CNIL relève ainsi de nombreux manquements :

● Absence de base légale du traitement : AFL ne peut invoquer son intérêt légitime à mettre en œuvre ces traitements pour des finalités de gestion des commandes en temps réel, de planification du travail et d’évaluation des performances. La CNIL considère qu’il est porté une atteinte disproportionnée aux droits des personnes concernées : violation de la vie privée des salariés, absence de conditions de travail qui respectent leur sécurité, leur santé et leur dignité.
● Manquement au principe de minimisation des traitements
● Manquement à l’obligation d’information les personnes
● Manquement à la sécurité des données

La CNIL conclut que "ces traitements de données à caractère personnel induisent une pression démesurée sur les travailleurs, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société" et décide de prononcer une amende de 32 millions d’euros, soit 3% du chiffre d’affaires réalisé par la société.

23/01/2024

La CNIL a rendu public une sanction de 10 millions d’euros prononcée le 29 décembre 2023 à l’encontre de YAHOO EMEA LIMITED (société Irlandaise) pour des violations de la réglementation française.

La CNIL retient sa compétence pour sanctionner YAHOO EMEA LIMITED.

● La CNIL constate d’abord la présence d’un établissement en France de YAHOO EMEA LTD, au sens de l’article 3 de la loi du 6 janvier 1978, à savoir a société YAHOO FRANCE. Plusieurs critères sont retenus :
- Selon ses statuts, YAHOO FRANCE a notamment pour objet « la promotion sur le marché français des produits et solutions publicitaires de YAHOO » ;
- YAHOO FRANCE agit dans le cadre d’un contrat de prestation de service pour YAHOO EMEA LIMITED afin de promouvoir ses produits auprès de ses clients français ;
- YAHOO FRANCE appartient au même groupe que YAHOO EMEA LIMITED ;
- La présidence de YAHOO FRANCE est exercée par la société mère de YAHOO EMEA LIMITED ;
- YAHOO FRANCE refacture à YAHOO EMEA LIMITED ses coûts de fonctionnement et lui rend des comptes.

● La CNIL retient ensuite que le seul fait, pour YAHOO FRANCE, de promouvoir sur le marché français les produits commercialisés par YAHOO EMEA LIMITED est suffisant pour considérer que YAHOO FRANCE traite les données dans le cadre de ses activités sur le territoire français.

● Au final, il est reproché à YAHOO EMEA LIMITED de ne pas respecter l’article 82 de la loi du 6 janvier 1978 en déposant plus d’une vingtaine de cookies publicitaires sans le consentement des visiteurs de Yahoo.com et Yahoo Mail, et ce peu important qu’il s’agisse de cookies tiers. Il est également reproché à la société de contraindre l’utilisateur à ne pas retirer son consentement, car s’il le faisait, il serait alors privé d’accès à sa messagerie électronique. La CNIL affirme qu’à supposer la mise en place d’un « cookie wall » valable, il est obligatoire de proposer une solution alternative afin de permettre à l’internaute de retirer son consentement.

12/01/2024

La sanction de la CNIL prononcée le 29 décembre 2023 et qui vient d’être rendue public peut faire figure de cas d’école.

Une société, distributrice de monnaie électronique, est condamnée à une sanction de 105 000 euros pour des manquements qui peuvent être évités simplement en s'engageant dans une démarche de mise en conformité RGPD :

● Conservation des données pour une durée illimitée : en dépit des déclarations du responsable de traitement, la CNIL a constaté que les données étaient conservées au-delà des 10 et 5 ans déclarés, alors qu’il s’agissait parfois de données telles que des copies de cartes d’identité ou des coordonnées bancaires
● Absence d’information des personnes conformément à l’article 13 du RGPD : la politique de protection des données était rédigée en Anglais alors que le service s’adressait à des francophones
● Défaut de sécurité des données : des logins/password étaient conservés en clair dans les bases de données de la société ou protégé par une fonction de hachage SHA-1 obsolète. En outre, le niveau de complexité exigé des mots de passe n’était pas suffisant
● Dépôt de cookies sans le recueil du consentement préalable des personnes

La mise en conformité RGPD sur ces éléments essentiels coûte toujours moins que la sanction.

07/12/2023

La Cour de Justice de l'Union Européenne vient de rendre deux arrêts majeurs d’interprétation du RGPD.

1️⃣Pour ce qui concerne les sanctions prononcées par les autorités nationales de contrôle, comme la CNIL, la CJUE décide, dans deux arrêts du 5 décembre 2023, qu’une sanction ne peut être prononcée à l’encontre d’un responsable de traitement que s’il est établi que celui-ci a commis, délibérément ou par négligence, une violation du RGPD. Autrement dit, pour être sanctionné, une faute doit être démontrée à l’encontre du responsable de traitement. Il ne peut y avoir de sanction automatique au simple constat d’un manquement au RGPD.

➡️Ceci est de nature à éloigner le risque de sanction en cas de fuites de données personnelles à la suite d’une cyberattaque lorsque le responsable de traitement dispose d’un système d’information à l’état de l’art en matière de sécurité.

2️⃣En ce qui concerne la qualité de responsable de traitement, dans son arrêt C-683/21, la CJUE pose le principe selon lequel peut être considérée comme étant responsable du traitement une entité qui a chargé une entreprise de développer une application informatique mobile même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de données par cette application. Une entité est responsable, non seulement pour tout traitement de données à caractère personnel qu’elle effectue elle-même, mais également pour celui qui est réalisé pour son compte dès lors qu’elle a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement.

➡️Ainsi, même si une entité ne traite jamais de données personnelles, elle peut être responsable de traitement. Une manière pour la CJUE d’affirmer qu’une entité ne peut pas se décharger de sa responsabilité au regard du RGPD en déléguant l’entièreté des opérations de traitement à un tiers et ne bénéficiant que des résultats de ces traitements, alors même que ces résultats ne contiennent pas de données personnelles.

Arrêts du 5 décembre 2023, en Grande chambre : C-683/21 et C‑807/21

04/10/2023

Depuis le 19 juillet 2023, le nouveau cadre juridique intitulé EU-US Data Privacy Framework permet de nouveau de transférer des données personnelles depuis l’Europe vers les Etats-Unis.

Les entreprises américaines qui participaient déjà au Privacy Shield (annulé par la CJUE dans sa décision du 16 juillet 2020) ont jusqu’au 10 octobre 2023 pour mettre à jour leur « auto-certification » et participer au EU-US Data Privacy Framework.

Elles sont déjà 2 518 enregistrées sur le site du département du commerce américain, dont Meta, Microsoft, Amazon, Google mais pas (encore) Apple.

29/09/2023

Une amende de 200 000 euros a été prononcée par la CNIL, dans sa délibération du 18 septembre 2023,  à l’encontre d’une société de transport et de logistique en raison d’une collecte excessive de données concernant ses salariés.

La filiale d’une société basée à Hong-Kong avait demandé à ses salariés de fournir les informations suivantes : ethnie, affiliation à un parti politique, situation familiale, identité des parents et des éventuels frères, sœurs et enfants, date et lieu de naissance, numéro de téléphone, employeur, fonctions et situation maritale de ces personnes.

● La collecte de ces données n’est pas justifiée par le besoin de prévenir les proches en cas d’urgence et viole le principe de minimisation.

● En outre, certaines de ces données sont « sensibles », de sorte que leur collecte n’était possible qu’avec le consentement libre et éclairé des salariés.

● Enfin, la CNIL a constaté lors d’un contrôle sur place que des extraits de casier judiciaire B3 étaient conservés dans les dossiers individuels des salariés par l’employeur. Sur ce point, la CNIL considère que si l’employeur peut « consulter », dans certaines circonstances, le casier judiciaire il ne peut pas en conserver un extrait.