15/06/2022

Le règlement 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (Data Governance Act, ou DGA) a été publié au Journal officiel de l’UE. Il entrera en vigueur le 24 septembre 2023. Le DGA a pour objectif principal la facilitation de l’accès et de la réutilisation de certaines catégories de données détenues par des organismes du secteur public (notamment par l’interdiction des accords d’exclusivité et la définition de la procédure à laquelle ces organismes doivent se soumettre en cas de réception d’une demande de réutilisation. En France, la loi pour une République numérique de 2016 a favorisé l’ouverture des données des organismes publics mais le régime juridique aujourd’hui contenu dans le code des relations entre le public et l’administration devra être mis à jour pour en tenir compte.

Deux autres dispositifs sont également mis en place par le DGA. Le législateur européen a en effet souhaité favoriser la réutilisation des données grâce à l’encadrement :

• De services dits « d’intermédiation ». D’après la Commission, il s’agira de prestataires fiables de services de partage de données qui mettront en commun et organiseront les données de manière neutre, à condition donc que ces entreprises ne les utilisent pas à leurs propres fins.

• D’organisations dites « altruistes ». Ces organisations à but non lucratif et servant des fins d’intérêt général, qui devront présenter des garanties spécifiques, traiteront les données reçues par les particuliers et entreprises volontaires pour les mettre à disposition à de telles fins, comme « l’amélioration du trafic, la santé publique, la lutte contre le changement climatique (…) ».

Les procédures de notification et d’enregistrement de ces nouveaux services et organisations seront « proposées par l’intermédiaire du portail numérique unique ».

10/06/2022

Le 20 mai 2022, la CNIL et ses homologues réunis au sein du Comité européen de la protection des données (CEPD), ont publié une lettre adressée au Parlement européen, à la Commission européenne, et au Conseil de l’Union européenne sur la proposition de nouveau cadre législatif concernant la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCBFT).

Le CEPD alerte les institutions européennes en ces termes : « The EDPB draws the attention of the European Institutions to the important data protection issues raised by the implementation of the AML/CFT obligations, as provided by the AML legislative proposals. Obliged entities are required to process personal data which allow to draw intimate inferences about individuals and which can notably lead to the exclusion of legal and natural persons from a right and/or a service (for instance, a banking service). It is therefore crucial that AML legislative proposals are in line with the General Data Protection Regulation (“the GDPR”) ».

Les « CNIL » européennes rappellent opportunément que nos propres règles en la matière imposent de ne traiter que des données exactes, pertinentes, et limitées à ce qui est nécessaire.

25/04/2022

Par une délibération du 15 avril 2022, la CNIL a prononcé une sanction de 1 500 000 euros à l’encontre d’une société commercialisant des solutions logicielles pour des laboratoires d’analyses médicales. La CNIL a retenu « de nombreux manquements techniques et organisationnels en matière de sécurité » dont :

• l’absence de procédure spécifique s’agissant des opérations de migration de données
• l’absence de chiffrement des données à caractère personnel stockées
• l’absence d’effacement automatique des données après migration
• l’absence d’authentification requise depuis Internet pour accéder à la zone publique d’un serveur
• l’utilisation de comptes utilisateurs partagés entre plusieurs salariés
• l’absence de procédure de supervision et de remontée d’alertes de sécurité

La CNIL a également retenu des manquements aux obligations d’encadrer les traitements effectués par un sous-traitant par un acte juridique formalisé et de ne traiter les données que sur instruction du responsable de traitement.

Notre récapitulatif des sanctions prononcées par la CNIL.

14/04/2022

Le décret n° 2022-517 du 8 avril 2022 est venu préciser la procédure de sanction devant la CNIL pour tenir compte notamment de la procédure « simplifiée » introduite par la loi du 24 janvier 2022.

Vous en saurez plus en un clin d’oeil avec notre présentation.

A souligner : le rapporteur de la CNIL n’est pas obligé d’entendre le mis en cause dans la procédure normale alors que c’est obligatoire dans la procédure simplifiée. Incongruité du texte lorsque l’on sait l’importance du rôle du rapporteur dans la prise de décision d’une sanction par la CNIL.

08/04/2022

Trans-Atlantic Privacy Framework : beaucoup de bruit pour rien, nous dit le European Data Protection Board (Comité européen de la protection des données). "À ce stade, cette annonce ne constitue pas un cadre juridique sur lequel les exportateurs de données peuvent fonder leurs transferts de données vers les États-Unis", rappelle l'EDPB. L'EDPB a annoncé que, conformément aux exigences du RGPD, il examinera l’accord de principe relatif aux transferts transatlantiques des données personnelles trouvé par l’UE et les États-Unis fin mars.

Il s’agira de vérifier si cet accord prend réellement en compte les problématiques soulevées par la Cour de Justice de l’Union européenne à l’occasion de sa décision Schrems II et si les autorités américaines offrent réellement un niveau de protection adéquat des données.

L’EDPB vérifiera notamment si :
• La collecte de données personnelles à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionnel ;
• Le droit des personnes à un recours effectif et à un procès équitable est respecté ;
• Toute nouvelle autorité incluse dans le dispositif a accès aux informations, y compris aux données personnelles, dans l’exercice de sa mission et peut adopter des décisions contraignantes pour les services de renseignement ;
• Il existe un recours judiciaire contre les décisions ou l’inaction de l’autorité dont il est question.

28/03/2022

Jamais 2 sans 3. Après le Safe Harbour et le Privacy Shield, voici le « Trans-Atlantic Data Privacy Framework ». La Commission européenne a déclaré qu’elle avait trouvé un accord avec les États-Unis sur le transfert des données personnelles vers les USA, répondant aux problématiques soulevées par la Cour de justice de l’Union européenne à l’occasion de l’arrêt dit « Schrems II » du 16 juillet 2020. L’objectif de cet accord sera de permettre la circulation libre et sécurisée des données européennes vers les États-Unis. Les dispositions précises n’ont pas encore été rendues publiques, mais la Commission européenne a présenté les principes clés qui régiront l’accord. Ainsi :

• De nouvelles règles limiteront l’accès aux données par les autorités américaines à ce qui est nécessaire et proportionné pour la protection de la sécurité nationale ;
• Des obligations strictes seront imposées aux entreprises qui traitent des données transférées aux États-Unis ;
• Des mécanismes spécifiques de plaintes, de suivi et de révision seront mis en place.

09/02/2022

Agissant comme autorité « chef de file », l’autorité belge de protection des données personnelles a rendu le 2 février 2022 une décision affectant de manière importante la publicité programmatique en ligne. La "CNIL" Belge sanctionne l’IAB Europe d’une amende de 250 000 euros. Elle considère notamment que les Consent Management Platforms (CMP) qui reposent sur les spécifications de l’IAB ne sont pas conformes au RGPD, ainsi que plus généralement toute l’infrastructure de recueil du consentement des internautes qui utilise OpenRTB et le Transparency and Consent Framework. L’IAB Europe doit présenter un plan d’action pour une mise en conformité dans un délai maximum de 6 mois.

➡️ De nombreux sites internet en Europe qui utilisent une CMP mettant en oeuvre les standards de l’IAB sont concernés par cette décision et doivent revoir leurs pratiques. Pour lire la décision.

28/01/2022

Avec la nouvelle procédure simplifiée de sanction, créée par une loi du 24 janvier 2022, les "petits" manquements au RGPD vont être plus facilement et rapidement sanctionnés par la CNIL. Les sanctions encourues peuvent aller jusqu'à 20 000 euros. Voici une présentation des différences entre la procédure normale et la nouvelle procédure simplifiée de sanction.

20/01/2022

La décision du Contrôleur européen de la protection des données (EDPS) du 5 janvier 2022 remet en question l’utilisation de Google Analytics et de Stripe, services largement utilisés en Europe. L'EDPS a, en effet, ordonné au Parlement européen de se conformer pour ses traitements à ses obligations en matière de protection des données personnelles:

1. Le site internet du centre de test Covid-19 du Parlement européen mettait en place des cookies Google Analytics et Stripe (bien que la présence des cookies Stripe résultait d’une erreur du développeur du site en question).

L’EDPS retient qu’un transfert de données personnelles de l’Union européenne vers les Etats-Unis a bien eu lieu par l’utilisation de ces cookies. L’EDPS souligne que le Parlement européen n’avait pas mis en place de mesures contractuelles, techniques ou organisationnelles garantissant un niveau de protection des données équivalent à celui garanti dans l’Union européenne, tel qu’il aurait dû le faire en cas de transfert vers un pays tiers. L'EDPS ne précise pas quelles mesures...

2. L’EDPS retient que les bannières de cookies proposées par le Parlement européen ne permettaient pas aux utilisateurs de donner un consentement libre et éclairé, et ne leur donnent pas une information transparente relative au traitement des données personnelles. L’EDPS précise à cette occasion que le consentement des utilisateurs est exigé même pour les cookies nécessaires aux mesures d’audience… ce qui n’est pas en ligne avec la doctrine de la CNIL sur ce point !

14/02/2022

La CNIL projette de faire évoluer ses méthodologies de référence (MR) 005 et 006 pour la recherche en santé. Les projets de MR sont soumis à consultation publique jusqu’au 18 février 2022. Que prévoient les nouvelles versions envisagées ?

● L’extension du champ d’application des MR : Les MR005 et MR006 s’appliquent désormais à tous les responsables de traitement justifiant de l’exécution d’une mission publique (MR005) ou la poursuite d’un intérêt légitime (MR006), à l’exception des assureurs et mutuelles.

● L’extension des données accessibles et de leurs modalités d’accès : Le périmètre des données concernées par les traitements est étendu aux données issues à l’ensemble du SNDS (Système national des données de santé) et aux RPU (Résumé de passage aux urgences).

Les modalités d’accès aux données sont également étendues : il serait désormais possible de passer par le portail de la CNAM, de l’ATIH ou du CASD, mais aussi par une « bulle sécurisée » (entendue comme une infrastructure hébergeant un système d’information mettant à disposition les données relatives au SNDS).

● La réduction des délais : La profondeur historique des données traitées est réduite à cinq ans, tandis que la durée d’accès et de conservation des données traitées est réduite à 3 ans maximum à compter de l’accès aux données.

● En outre, il devient désormais obligatoire d’obtenir un avis favorable du CESREES préalablement à la mise en œuvre des traitements.