31/08/2022

Le Conseil d’Etat confirme qu’il n’y a pas besoin de notifier à la CNIL une fuite de données que la CNIL vous notifie…

Après signalement sur un site d’information en ligne d’images médicales de patients librement accessibles sur des serveurs informatiques , accompagnées des noms, prénoms, dates de naissances, dates de réalisation de l’examen et noms des praticiens concernés, la CNIL a procédé à des contrôles en ligne.

La CNIL a ensuite avisé un chirurgien orthopédiste dont les données des patients étaient ainsi divulguées et du contrôle opéré.

Deux manquements au RGPD ont été retenus à son endroit par la CNIL :

● Elle reprochait au responsable de traitement de ne pas l’avoir notifié de la violation de données à caractère personnel. Dans sa décision du 22 juillet 2022, la Haute juridiction administrative ramène la CNIL à la raison en lui indiquant qu’elle ne peut exiger du responsable de traitement de lui notifier une violation de données… dont elle a elle-même informé le responsable de traitement par courriel.

● Pour le reste, le Conseil d’État confirme le caractère défaillant de l’installation informatique du praticien, en raison de la configuration de son réseau informatique interne et de l’absence de chiffrement des données médicales devant recevoir des mesures de sécurité renforcées.

La sanction prononcée par la CNIL a été réduite de 3000 à 2500 euros par le Conseil d’État dans son arrêt du 22 juillet 2022.

22/07/2022

La CNIL a prononcé dans une décision du 7 juillet 2022 une amende de 175 000 euros à l’encontre de la société Ubeeqo International ayant pour activité la location de véhicules pour une courte durée. Divers manquements lui sont reprochés en tant que responsable de traitement :

● Minimisation des données : la géolocalisation du véhicule tous les 500 mètres, lorsque le moteur s’allume et se coupe ou lorsque que les portes s’ouvrent et se ferment, est disproportionnée au regard des finalités présentées. Pour la gestion du parc de véhicules, la simple géolocalisation tirée du démarrage, de l’extinction du moteur ou de l’appel du client pouvait suffire.
En cas de vol ou d’accident, la géolocalisation du véhicule doit être rendue nécessaire par un fait générateur, respectivement une suspicion de vol ou une demande d’assistance.

● Conservation des données : la CNIL reproche à la société de prendre en compte la fin de la relation commerciale pour faire débuter la durée de conservation de 3 ans, alors que les données collectées sont liées à chaque contrat de location d’un véhicule. La politique de conservation des données n’était d’ailleurs pas effectivement respectée, des données relatives à des utilisateurs inactifs depuis plus de 8 ans étant stockées. Au titre de procédures liées au vol d’un véhicule ou à un accident, l’autorité admet le stockage de certaines données pour une durée adéquate.

● Information des personnes : le formulaire d’inscription adressé aux consommateurs renvoyait aux conditions générales et ne permettait pas un accès direct aux informations obligatoires relatives à la protection des données.

20/07/2022

La CNIL et ses homologues européennes se prononcent sur le Data Governance Act (DGA) et le Data Act. 

Dans un avis publié le 13 juillet 2022, la CNIL et d'autres autorités de protection des données se sont prononcées sur deux textes européens dont l’ambition est la création d’un marché unique de la donnée : le règlement n°2022/868 dit Data Governance Act (DGA) adopté en mai 2022 et la proposition de règlement dit Data Act présentée par la Commission européenne en février 2022. 

Le DGA veut offrir un cadre juridique propice à la réutilisation des données du secteur public par l’élaboration d’un mécanisme d’autorisation et l’interdiction de tout accord d’exclusivité. Le partage des données sera facilité par la confiance renforcée à l’égard de prestataires de services de partage de données – « structures d’intermédiation » – soumis à des obligations de notification et de neutralité, et d’organisations collectant des données pour l’intérêt général devant s’enregistrer comme des « organisations altruistes » à l’issue d’une procédure. 

Le Data Act vise une meilleure répartition des données organisée par des conditions équitables, moyennant une compensation raisonnable et dénuées de toute clause abusive. L’utilisation des données doit être facilitée pour les utilisateurs et les tiers par les fabricants et concepteurs dont les produits génèrent des données, comme pour les organismes publics en cas de besoins exceptionnels. Le Data Act encourage l’interopérabilité et le changement de fournisseurs de services de traitement des données par la suppression de tout obstacle dont les frais. Le texte se prémunit contre les accès illicites hors de l’Union européenne. 

Le DGA adopté en mai 2022 sera applicable en septembre 2023, tandis que la proposition du Data Act présentée par la Commission européenne en février 2022 devra encore faire l’objet d’une procédure d’adoption. 

01/07/2022

Quels manquements sont retenus par la CNIL pour la sanction de 1 million d’euros prononcée à l’égard de TOTAL ENERGIES ?

La procédure a été diligentée à l’issue de la réception de 27 plaintes par la CNIL entre octobre 2019 et juillet 2020 et un contrôle en ligne du site internet concerné permettant à des consommateurs de renseigner des formulaires pour obtention de devis et pour la souscription d’abonnements en ligne.

Les griefs retenus sont les suivants:
● OPT-OUT: Les coordonnées des prospects ont été recueillies via un formulaire en ligne de souscription ne permettant pas de s’opposer au traitement de leurs données à des fins de prospection commerciale. Des courriels de prospection étaient également adressés à des prospects qui avaient seulement débuté une souscription sans la finaliser.
● INFORMATION : Lors de campagnes d’appels téléphoniques ultérieures, l’information délivrée aux prospects sur la protection de leurs données par la société était incomplète, sans que leur soit offerte la possibilité d’accéder à une information plus complète.
● EXERCICE DES DROITS : Les demandes d’exercice de leurs droits par les personnes concernées n’ont pas été traitées dans le temps imparti et l’ont souvent été après plusieurs relances de la personne concernée, ou dans le cadre de la procédure de contrôle.
● CIRCONSTANCES NON ATTENUANTES : Le responsable de traitement ne peut pas se prévaloir de difficultés dans l’obtention de l’information auprès de ses partenaires commerciaux ou d’erreurs humaines de ses équipes pour justifier son absence de réponse aux personnes concernées, auxquelles elle doit garantir un droit d’accès à leurs données.
● DROIT D’OPPOSITION : Il n’a pas été apporté de réponse satisfaisante aux utilisateurs faisant état de leurs difficultés dans l’exercice de leur droit d’opposition à la prospection commerciale
● MISE EN CONFORMITE ULTERIEURE : quand bien même des mesures correctives ont été prises par la société au cours de la procédure de contrôle, la CNIL a constaté que les manquements étaient constitués.

Conclusions : - les consommateurs doivent pouvoir dire NON à de la prospection commerciale ; - il convient de mettre en oeuvre des procédures de prospection conformes à la réglementation applicable avant que des plaintes soient adressées à la CNIL et des contrôles diligentés.

21/06/2022

« Transmission de fichiers de donateurs ou de contacts entre associations et fondations » - Le nouveau guide de la CNIL permet de démystifier deux fausses croyances qui ont la vie dure depuis l'entrée en vigueur du RGPD :

● Le recueil du consentement n’est pas un préalable nécessaire à tout traitement de données personnelles. La CNIL indique que des associations peuvent se transmettre entre elles des fichiers de donateurs ou de contact pour des finalités de prospection caritative. Il faudra que la collecte des données ait, bien sûr, été licite et loyale et que les règles suivantes soient respectées : 1 La personne concernée doit avoir été dument informée de l’utilisation de ses données à des fins de prospection caritative. 2 La personne concernée doit avoir été informée que ses données pourront être transmises à des partenaires du secteur caritatif à des fins de prospection caritative. 3 Chaque personne concernée doit être en mesure de s’opposer préalablement à chacune de ces utilisations (optout) puis à tout moment lors de chaque contact (lien de désabonnement)

● Une transmission de données par un opérateur à un autre n'implique pas que l’un soit qualifié « sous-traitant » de l’autre. Un contrat de sous-traitance de données n’est pas à mettre en place dans tous les cas de transferts de données. Si une association A communique des données à une association B, pour que B puisse à son tour faire de la prospection caritative au nom et pour le compte de B, alors il s’agit d’un transfert de responsable de traitement à responsable de traitement, chacune étant responsable de ses propres traitements.

●  Ces règles ne sont pas applicables si la prospection est commerciale, et tout prestataire technique traitant des données pour le compte de l’association sera bien, quant à lui, un sous-traitant !

15/06/2022

Le règlement 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (Data Governance Act, ou DGA) a été publié au Journal officiel de l’UE. Il entrera en vigueur le 24 septembre 2023. Le DGA a pour objectif principal la facilitation de l’accès et de la réutilisation de certaines catégories de données détenues par des organismes du secteur public (notamment par l’interdiction des accords d’exclusivité et la définition de la procédure à laquelle ces organismes doivent se soumettre en cas de réception d’une demande de réutilisation. En France, la loi pour une République numérique de 2016 a favorisé l’ouverture des données des organismes publics mais le régime juridique aujourd’hui contenu dans le code des relations entre le public et l’administration devra être mis à jour pour en tenir compte.

Deux autres dispositifs sont également mis en place par le DGA. Le législateur européen a en effet souhaité favoriser la réutilisation des données grâce à l’encadrement :

• De services dits « d’intermédiation ». D’après la Commission, il s’agira de prestataires fiables de services de partage de données qui mettront en commun et organiseront les données de manière neutre, à condition donc que ces entreprises ne les utilisent pas à leurs propres fins.

• D’organisations dites « altruistes ». Ces organisations à but non lucratif et servant des fins d’intérêt général, qui devront présenter des garanties spécifiques, traiteront les données reçues par les particuliers et entreprises volontaires pour les mettre à disposition à de telles fins, comme « l’amélioration du trafic, la santé publique, la lutte contre le changement climatique (…) ».

Les procédures de notification et d’enregistrement de ces nouveaux services et organisations seront « proposées par l’intermédiaire du portail numérique unique ».

10/06/2022

Le 20 mai 2022, la CNIL et ses homologues réunis au sein du Comité européen de la protection des données (CEPD), ont publié une lettre adressée au Parlement européen, à la Commission européenne, et au Conseil de l’Union européenne sur la proposition de nouveau cadre législatif concernant la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCBFT).

Le CEPD alerte les institutions européennes en ces termes : « The EDPB draws the attention of the European Institutions to the important data protection issues raised by the implementation of the AML/CFT obligations, as provided by the AML legislative proposals. Obliged entities are required to process personal data which allow to draw intimate inferences about individuals and which can notably lead to the exclusion of legal and natural persons from a right and/or a service (for instance, a banking service). It is therefore crucial that AML legislative proposals are in line with the General Data Protection Regulation (“the GDPR”) ».

Les « CNIL » européennes rappellent opportunément que nos propres règles en la matière imposent de ne traiter que des données exactes, pertinentes, et limitées à ce qui est nécessaire.

25/04/2022

Par une délibération du 15 avril 2022, la CNIL a prononcé une sanction de 1 500 000 euros à l’encontre d’une société commercialisant des solutions logicielles pour des laboratoires d’analyses médicales. La CNIL a retenu « de nombreux manquements techniques et organisationnels en matière de sécurité » dont :

• l’absence de procédure spécifique s’agissant des opérations de migration de données
• l’absence de chiffrement des données à caractère personnel stockées
• l’absence d’effacement automatique des données après migration
• l’absence d’authentification requise depuis Internet pour accéder à la zone publique d’un serveur
• l’utilisation de comptes utilisateurs partagés entre plusieurs salariés
• l’absence de procédure de supervision et de remontée d’alertes de sécurité

La CNIL a également retenu des manquements aux obligations d’encadrer les traitements effectués par un sous-traitant par un acte juridique formalisé et de ne traiter les données que sur instruction du responsable de traitement.

Notre récapitulatif des sanctions prononcées par la CNIL.

14/04/2022

Le décret n° 2022-517 du 8 avril 2022 est venu préciser la procédure de sanction devant la CNIL pour tenir compte notamment de la procédure « simplifiée » introduite par la loi du 24 janvier 2022.

Vous en saurez plus en un clin d’oeil avec notre présentation.

A souligner : le rapporteur de la CNIL n’est pas obligé d’entendre le mis en cause dans la procédure normale alors que c’est obligatoire dans la procédure simplifiée. Incongruité du texte lorsque l’on sait l’importance du rôle du rapporteur dans la prise de décision d’une sanction par la CNIL.

08/04/2022

Trans-Atlantic Privacy Framework : beaucoup de bruit pour rien, nous dit le European Data Protection Board (Comité européen de la protection des données). "À ce stade, cette annonce ne constitue pas un cadre juridique sur lequel les exportateurs de données peuvent fonder leurs transferts de données vers les États-Unis", rappelle l'EDPB. L'EDPB a annoncé que, conformément aux exigences du RGPD, il examinera l’accord de principe relatif aux transferts transatlantiques des données personnelles trouvé par l’UE et les États-Unis fin mars.

Il s’agira de vérifier si cet accord prend réellement en compte les problématiques soulevées par la Cour de Justice de l’Union européenne à l’occasion de sa décision Schrems II et si les autorités américaines offrent réellement un niveau de protection adéquat des données.

L’EDPB vérifiera notamment si :
• La collecte de données personnelles à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionnel ;
• Le droit des personnes à un recours effectif et à un procès équitable est respecté ;
• Toute nouvelle autorité incluse dans le dispositif a accès aux informations, y compris aux données personnelles, dans l’exercice de sa mission et peut adopter des décisions contraignantes pour les services de renseignement ;
• Il existe un recours judiciaire contre les décisions ou l’inaction de l’autorité dont il est question.