Par une délibération en date du 19 juillet 2017[1], la CNIL a sanctionné la société Hertz au paiement d’une amende de 40 000 € pour violation de données personnelles. Cette décision mérite une attention particulière car elle permet de souligner l’importance de bien encadrer juridiquement la relation avec les sous-traitants auxquels l’on confie la gestion de traitements de données personnelles.

Les faits

La société Hertz France a créé en 2011 un programme permettant de proposer des réductions sur les locations de véhicules. Ce programme passait par la réalisation d’un site internet, www.cartereduction-hertz.com (ci-après le « Site »), confiée à un éditeur externe, sous-traitant de Hertz.

Le 15 octobre 2016, le site www.zataz.com informe la CNIL de l’existence d’une faille de sécurité sur le Site. Cette faille permettrait de donner accès aux données personnelles de pas moins de 40 000 clients de la société Hertz France. La CNIL opère alors un contrôle en ligne le jour même, et accède aux données de 35 327 personnes. Ces données étaient notamment les nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire. Informée par la CNIL de cette faille, la société Hertz a pris contact avec son sous-traitant qui a mis en place les correctifs. Le sous-traitant a expliqué à la CNIL que la faille était due à la suppression involontaire d’une ligne de code au moment du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. La CNIL, s’étant rendue chez la société Hertz le 28 octobre 2016, a pu constater que la violation des données avait cessé.

Un contrôle chez le sous-traitant en novembre 2016 permet à ce dernier de préciser qu’il avait mis en place les correctifs quelques heures seulement après avoir été informé par Hertz. Par ailleurs, une analyse des journaux d’accès du serveur a permis de constater l’absence de téléchargement massif des données.

Responsabilité de Hertz

La CNIL rappelle l’article 34 de loi Informatique et Libertés selon lequel « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Hertz, qui a évidemment pu présenter ses arguments, a fait valoir la rapidité de sa réaction lorsqu’elle a été informée de la violation, et de la rapidité de son sous-traitant qui a installé les correctifs moins de quatre heures après le signalement de la CNIL. De surcroit, aucune fuite massive de données n’a été constatée, et aucun client ayant un compte sur le Site ne s’est plaint d’une divulgation de ses données. Enfin, la société Hertz précise que le contrat qui la liait à son sous-traitant contenait une « clause spécifique à la protection des données à caractère personnel ». La violation serait donc de la responsabilité du sous-traitant et non de la société Hertz.

Pour autant, la CNIL considère qu’il y a bien, en l’espèce, une responsabilité de la société Hertz qui a failli dans la surveillance des activités de son sous-traitant.

En premier lieu, lors de la création du site, la CNIL relève que la société Hertz n’avait imposé aucun cahier des charges à son sous-traitant. Ce cahier des charges aurait pu permettre de préciser notamment les développements relatifs à la sécurité des données.

En second lieu, la CNIL considère que la société Hertz aurait dû contrôler l’opération de modification des serveurs qui a été la cause de la suppression d’une partie du code. Etant donné que ces serveurs étaient ceux permettant de communiquer avec le prestataire de paiement, l’opération était sensible et Hertz aurait dû s’assurer que la mise en production du site avait été précédée d’un protocole complet de test permettant de garantir l’absence de vulnérabilité.

Ces différents points justifient pour la CNIL la responsabilité de la société Hertz.

Cette analyse est particulièrement intéressante car permet de mettre en exergue l’importance pour un responsable du traitement de rester en contact continu avec son sous-traitant et de superviser les opérations sensibles qu’il réalise pour son compte. Une simple clause dans un contrat ne peut suffire pour se dégager de toute responsabilité, même si elle peut permettre dans un second temps de mettre en jeu la responsabilité contractuelle du sous-traitant. En revanche, le contrat doit prévoir des possibilités pour le responsable du traitement de contrôler les opérations menées par son sous-traitant, doit imposer des mesures de sécurité et rendre possible la réalisation d’audits.

Sanction et publicité

La CNIL, bien que caractérisant la responsabilité de Hertz, souligne la rapidité de la réaction du responsable du traitement et du sous-traitant, le fait qu’il n’y ait pas eu d’extraction massive des données et que Hertz ait collaboré avec la CNIL. Elle lui inflige malgré tout une amende de 40 000 euros.

De plus, la CNIL décide de rendre publique cette délibération. La justification de cette publicité est intéressante la CNIL prenant en considération « le contexte actuel dans lequel se multiplient les incidents de sécurité ». On retrouve ici la volonté de la CNIL de faire de la pédagogie, mais cette fois-ci par l’exemple, en montrant que ce type de négligence ne restera pas impuni. A noter aussi que c’est la première fois que la CNIL prononce une sanction pécuniaire pour une violation de données. Ceci lui est permis depuis novembre 2016 grâce à la loi sur une République numérique, alors qu’auparavant seul un avertissement aurait pu être décidé dans un tel cas comme le précise la CNIL sur son site internet.

Cette délibération montre donc que la CNIL souhaite utiliser les nouvelles prérogatives dont elle dispose et veut faire savoir qu’elle n’hésitera pas à sanctionner. Cette délibération sonne ainsi comme un sérieux avertissement, quand on sait qu’à compter de mai 2018, les sanctions pourront aller jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaires mondiales.

***

Hertz est sanctionné pour violation de l’article 34 de la loi Informatique et Libertés pour ne pas avoir suffisamment encadré le travail réalisé par un sous-traitant cette insuffisance ayant mené à une violation de données personnelles.

Le RGPD qui entre en vigueur dans moins d’un an impose, à son article 28, des obligations précises lorsqu’un responsable de traitement noue une relation avec un sous-traitant. La première d’entre elles est de veiller à ce que ce sous-traitant présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Par ailleurs, le Règlement encadre les contrats passés par un responsable avec son sous-traitant. Ces contrats devront notamment préciser la finalité des traitements, leur nature, la durée de conservation, encadrer les actions réalisés par les sous-traitants en précisant une obligation de collaboration avec le responsable ainsi qu’une obligation d’information en cas de faille.

Un vrai travail de réécriture des contrats et de contrôle des procédures des sous-traitants est donc à mener sans tarder par tout responsable de traitement.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] Délibération n°SAN-2017-010 du 18 juillet 2017.

Lire la suite

En application du principe d’accountability, le responsable de traitement, tout comme les sous-traitants, doivent pouvoir prouver à tout moment le respect des principes édictés par le RGPD.

L’article 30 du RGPD prévoit la mise en place d’un registre des traitements, qui remplace, pour faire simple, les anciennes obligations déclaratives. Le 14 juin 2017, la Commission de Protection de la Vie Privée (CPVP), équivalent de la CNIL en Belgique, a publié une recommandation[1] apportant des éléments de précisions sur cette obligation.

Quels organismes sont tenus d’avoir un registre des traitements de données ?

L’article 30 impose la mise en place d’un registre tant par les responsables de traitement que par les sous-traitants. Ce même article crée une exception pour les entreprises ou organisations « comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Plusieurs éléments de cette exception nécessitent des clarifications, notamment sur la qualification du « risque » et sur la notion d’« occasionnel ».

Pour la première exception, la recommandation s’appuie sur les considérants du RGPD, et en particulier son considérant 75 qui explicite la notion de « risque pour les droits et libertés des personnes concernées » en dressant une liste de ces risques :

  • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important;
  • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel;
  • lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes;
  • lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels;
  • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Sur la notion d’ « occasionnel », la CPVP part du terme anglais « occasionnal » pour expliquer qu’il caractérise un traitement « qui est tel par occasion, par hasard, fortuit, par opposition à habituel ». Pas réellement décisive, cette explication est suivie d’exemples qui sont quant à eux plus illustratifs : « Ne sont par exemple pas des traitements occasionnels, les traitements de données liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs ».

Partant de cette liste d’exemples, qui reprend la plupart des traitements soumis aujourd’hui à des normes simplifiées, la prudence devrait finalement conduire tous les responsables de traitement ainsi que tous les sous-traitants à mettre en place un registre. C’est d’ailleurs à cette conclusion qu’aboutit la CPVP en invitant l’ensemble de ces acteurs à tenir un registre.

Le maintien temporaire de l’accès aux déclarations préalables

La CPVP rappelle que le registre est un outil de l’accountability comme cela a été précisé en introduction. Moyen de prouver que les obligations liées aux traitements des données sont respectées, il se substitue aux déclarations préalables encore en vigueur jusqu’au 25 mai 2018.

Pour autant, ces déclarations préalables contiennent un nombre important d’informations que les responsables de traitement peuvent être heureux de réutiliser pour compléter leur registre. La CPVP propose dès lors de maintenir ces déclarations accessibles jusqu’au 25 mai 2019, tout en alertant sur le fait que ces déclarations préalables ne concernent pas toutes les finalités. Ces précisions sont valables pour la France, les CIL ayant déjà pour habitude de se référer aux déclarations et autorisations pour compléter le registre. Elles resteront un outil précieux pour aiguiller les responsables et sous-traitants dans le respect de l’article 30 du RGPD.

Les informations devant apparaître dans le registre des RT et des ST

La Recommandation permet un rappel des informations listées à l’article 30 et devant apparaître dans le registre :

  • l’identité du responsable de traitement, de son représentant et du DPO. La CPVP précise que le fait de porter le nom du DPO sur le registre ne dispense pas de devoir l’indiquer à l’autorité compétente.
  • Les finalités de chacun des traitements, de façon précise et claire. Il est ici recommandé que, lorsque la finalité est assez générale, le rédacteur y apporte un descriptif plus précis.
  • Une description des catégories de personnes concernées par les données et un descriptif des données traitées. En ce qui concerne les personnes, il est recommandé de préciser l’âge des personnes concernées car le RGPD comprend des règles particulières pour les mineurs.
  • Les personnes à qui les données sont éventuellement transférées, que ce soit des transferts internes ou externes (sous-traitants,…).
  • Le lieu de transfert des données en particulier l’identification des pays tiers, les documents attestant de l’existence de garanties appropriées en l’absence de décision d’adéquation le cas échéant et ce pour chacune des finalités identifiées. La CPVP rappelle que l’hypothèse d’un transfert vers un pays tiers avec lequel il n’existe pas de décision d’adéquation obligeant à apporter des garanties appropriées est cependant « une disposition qui ne doit être utilisée comme fondement au transfert qu’à titre tout à fait exceptionnel ». Par ailleurs, les garanties qui entourent ces transferts doivent être « strictes », « prévues par exemple dans un contrat à répertorier dans le Registre ».
  • La durée de conservation. Pour ce point particulièrement délicat pour les responsables de traitement, l’autorité belge précise simplement que cette durée n’est pas nécessairement une durée en jours, mois ou année mais peut être l’arrivée d’un événement : durée de prescription, temps de réalisation d’une finalité ou de gestion du contentieux éventuel qui s’en suivrait, durée d’archivage imposée par la loi à l’issue du traitement, etc.
  • Enfin, le dernier point à préciser concerne la façon dont sont stockées les données et leur sécurisation. La CPVP rappelle que ce point concerne tant la sécurité technique qu’organisationnelle et renvoie à une recommandation antérieure sur les questions de sécurité.

Pour les sous-traitants, qui seront désormais soumis à l’obligation de tenir un registre, les informations devant y apparaître seront légèrement différentes. En effet, il faudra que l’identité du sous-traitant ou de son représentant soit mentionnée ainsi que celles de chacun des responsables de traitement pour lesquels il intervient. Les catégories de traitement, et donc les finalités de chacun de ces traitements seront précisées, le sous-traitant ayant pour obligation de respecter celle-ci. Les transferts de données et les mesures de sécurisation devront enfin elles-aussi être mentionnés.

La forme du registre

Sur ce point, la CPVP n’apporte pas d’éléments particuliers de réflexion, mais reprend ce que le RGPD impose. A savoir un registre sous forme informatique, dans un langage clair et précis afin de permettre à l’autorité de contrôle de comprendre les traitements et comment ils sont réalisés.

Pour l’autorité belge aucun canevas ou modèle ne s’impose, chaque responsable disposant d’une grande liberté dans la mise en œuvre de ce registre. Elle conseille néanmoins à chaque secteur d’activités de proposer aux acteurs de ce secteur un registre type correspondant aux exigences et traitements habituels du domaine d’activité. La CPVP elle-même n’exclue pas, à ce stade, de proposer un modèle de registre.

Lorsqu’une même entité est à la fois responsable de traitement et sous-traitant, ce qui représente la majorité des situations des sous-traitants, il semble préférable de prévoir deux volets distincts au sein du registre. Mais sur ce point encore, l’autorité ne souhaite pas imposer quoi que ce soit et veut laisser une grande liberté aux acteurs.

Enfin, en ce qui concerne les informations du registre une fois un traitement terminé, la CPVP conseille de le laisser visible sur le registre en précisant les dates de début et de fin. On retrouve ici la logique liée à l’accountability.

***

Grâce à cette recommandation, la CPVP offre un point précis de ce qui attend les responsables de traitement et les sous-traitants avec la tenue du registre. L’autorité belge intègre parfaitement la logique qui irrigue le RGPD : l’accountability. Elle précise ainsi que si le RGPD indique les données devant obligatoirement apparaître, chaque responsable de traitement demeure libre de mettre d’autres informations sur le registre en tenant compte en particulier des spécificités des secteurs d’intervention, mais aussi d’autres obligations imposées par le RGP : la mise en place d’un PIA, les pertes de données ou autres violations, mention de la base légale du traitement, etc.

Toujours en lien avec l’accountability, la CPVP rappelle que ce registre devra faire l’objet d’une mise à jour constante afin que, dès que l’autorité le demande, ce registre puisse lui être remis sans qu’aucun traitement ou information ne soient manquants.

Enfin, en guise de rappel là encore, cette recommandation souligne que l’obligation de tenue du registre n’est pas anodine puisqu’en cas de violation de l’article 30, l’entreprise peut se voir infliger une amende administrative pouvant aller jusqu’à 10 000 000 d’euros ou jusqu’à 2% du CA mondial.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

[1] Recommandation n°06/2017 du 14 juin 2017, relative au registre des activités de traitements (article 30 du RGPD).

Lire la suite

Bien des sites internet recueillent les adresses IP (adresses de protocoles Internet en français selon la terminologie de l’IANA) de leurs visiteurs pour des finalités plus ou moins définies et sans demander le consentement des personnes concernées.

Si l’on prend l’exemple de l’IPv4, la plus courante, celle-ci est constituée de 4 octets (nombre allant 0 à 255) séparés par des points, ayant une signification : les trois premiers identifiant le réseau (netID en anglais) et le quatrième, le numéro de l’ordinateur (hostID en anglais). Cette adresse identifie le dispositif connecté au réseau Internet. Mais si les adresses (IPv4) publiques, enregistrées et routables sur Internet, uniques au plan mondial sont visibles sur le réseau internet, les adresses privées ne sont visibles et utilisables qu’au sein d’un réseau local. De sorte que dans le cas très fréquent de petit réseau domestique utilisant la même « box » (modem) fibre ou ADSL, seule l’adresse du modem, lui-même distributeur d’adresses IP est visible sur le réseau Internet (adresse du réseau IP). Ce n’est donc pas un ordinateur qui est identifié, mais un réseau local.

De plus, ces adresses IP ne permettent aucune identification directe du dispositif connecté. Ce sont les fournisseurs d’accès à Internet (FAI), qui ont accès à la base de données des adresses IP de l’IANA (division de l’ICANN), qui ont connaissance du lien entre cette adresse IP et le titulaire déclaré des droits (propriétaire, locataire, utilisateur déclaré…) sur le dispositif connecté. Cette identification indirecte d’une personne par le biais de l’adresse IP qu’elle utilise a pu laisser planer un doute quant à la qualification de l’adresse IP en une donnée personnelle à laquelle s’appliquerait donc la loi Informatique et Libertés du 6 janvier 1978[1], d’autant qu’elle repose sur une présomption (à savoir que le titulaire/propriétaire est effectivement l’utilisateur, ce qui n’est pas nécessairement le cas ; tel est le cas, par exemple, des ordinateurs achetés par les parents et mis à la disposition de leurs enfants).

Rappelons, par ailleurs, qu’il existe deux sortes d’adresses IP :

– les adresses IP fixes, attribuées de façon permanente notamment par les fournisseurs d’accès ou les sociétés d’hébergement de sites web (adresse IP « statique »). Elles sont généralement professionnelles.
– les adresses IP dynamiques, attribuées de façon aléatoire par les fournisseurs d’accès à chaque connexion.

Si la Cour de Justice de l’Union Européenne (CJUE) a reconnu la nature juridique de donnée à caractère personnel à l’adresse IP depuis plusieurs années, depuis un arrêt du 24 novembre 2011[2], la jurisprudence française écartait, dans les années 2000, cette qualification. Les juridictions répressives en particulier ne considéraient pas l’adresse IP comme une donnée personnelle, suivies en cela par certaines Cour d’appel[3] et la chambre criminelle de la Cour de cassation elle-même[4].

Ces divergences n’existent plus aujourd’hui, avec la réaffirmation ou l’affirmation en fin d’année dernière, tant par la Cour de Justice de l’Union Européenne que par la Cour de cassation, qu’une adresse IP est effectivement une donnée à caractère personnel.

La première, par un arrêt en date du 19 octobre 2016[5], la seconde, par un arrêt en date du 3 novembre 2016[6] consacrent en effet définitivement – sans doute – cette qualification. Ces décisions sont tout à fait logiques au regard des textes. Tant la directive du 1995[7] que la loi du 6 janvier 1978 modifiée par la loi du 21 juin 2004 qui transpose la directive, précisent en effet que « constituent une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Or, si l’adresse IP ne permet pas une identification directe, l’intervention des FAI étant nécessaire, elle permet une identification indirecte.

Si l’adresse IP ne permet pas toujours d’identifier le contrevenant, elle n’en est pas moins une donnée à caractère personnel…sauf cas très particuliers

La négation de la qualification de donnée personnelle provient principalement du fait que l’adresse IP, même avec les informations des FAI, ne permet pas toujours l’identification de son titulaire.

Pour autant, même si cette remarque trouve tout son sens en particulier en droit pénal lorsqu’il s’agit d’identifier précisément l’auteur d’une infraction, elle n’est en rien décisive pour retirer à l’adresse IP son caractère de donnée personnelle. Cette adresse demeure rattachée à un titulaire, qui peut être indirectement identifié, quand bien même se serait-il fait subtiliser son ordinateur. Tout comme la plaque d’immatriculation d’un véhicule reste une donnée personnelle même en cas de vol.

Cette qualification est néanmoins nuancée par la CJUE. La CJUE soumet en effet la qualification de données à caractère personnel à la facilité ou non de recouper l’adresse IP avec les informations détenues par un FAI. Ainsi, pour la CJUE « tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effet démesuré en terme de temps, de coût et de main d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant ». Mais la difficulté de pouvoir anticiper ce qu’il faut entendre par « effet démesuré » oblige à la prudence et donc pour le responsable de traitement à internaliser le fait qu’une adresse IP est bien, dans la quasi-totalité des cas, une donnée personnelle.

Les conséquences de cette qualification

A partir du moment où l’adresse IP est qualifiée de donnée à caractère personnel, les règles de la loi du 6 janvier 1978 et bientôt (25 mai 2018) celles du Règlement Général sur les Données Personnelles (RGPD) trouvent à s’appliquer à leur traitement.

Jusqu’au 25 mai 2018, chaque propriétaire ou exploitant d’un site web doit, en principe (sauf dispenses pour certains traitements), déclarer les traitements des adresses IP des visiteurs.

L’une des conséquences de la non-conformité du traitement ressort de l’arrêt de la Cour de Cassation du 3 novembre 2016. En l’espèce, trois entreprises d’un même groupe qui avaient été victimes de piratage de leur réseau interne, avaient obtenu du juge des requêtes une ordonnance faisant injonction à divers FAI de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. L’une des personnes identifiées contestait la légalité de cette ordonnance en ce que « la conservation sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL ». L’adresse IP étant une donnée personnelle et ce traitement n’ayant en effet pas été déclaré, la Cour de cassation reconnaît le caractère illégal de ce traitement et casse l’arrêt d’appel qui avait rejeté la demande de rétractation de l’ordonnance.

Ainsi, l’une des finalités de la collecte des adresses IP qui est d’assurer une protection efficace de ses serveurs peut se trouver dépourvue d’effet si la réglementation applicable aux données personnelles n’a pas été respectée.

Par ailleurs, à partir du moment où la réglementation encadrant le recueil de données personnelles s’applique, la question du consentement de la personne concernée peut se poser. On comprend la difficulté de ce recueil lorsque la finalité du traitement en cause est d’assurer la sécurité de son site internet ou de ses serveurs. L’arrêt de la CJUE du 19 octobre 2016 vient rappeler opportunément l’article 7 de la directive 95/46 qui précise que si le consentement est obligatoire, quelques exceptions sont admises. Parmi celles-ci, le consentement est considéré comme non obligatoire lorsque le traitement est « nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée (…) ». La CJUE rappelle que ces exceptions au consentement ne peuvent être ni élargies ni diminuées par les lois de transposition nationales.

En l’espèce, un citoyen allemand se plaignait de ce que son adresse IP avait été collectée par un site des services fédéraux allemand qu’il avait consulté. Le responsable de traitement justifiait l’existence de ce fichier par l’impératif de sécurité et la volonté de se prémunir contre les attaques. Pour la CJUE, cette approche était conforme à l’article 7 de la directive, « l’objectif visant à garantir la capacité générale de fonctionnement des (…) services [pouvant] justifier l’utilisation desdites données après une session de consultation de ceux-ci ». La continuité des services, et donc la finalité liée à la sécurité d’un site internet est pour la CJUE un intérêt légitime qui justifie l’absence de consentement, cet intérêt légitime prévalant sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Il est à noter que cette exception au principe du recueil du consentement sera toujours applicable sous l’ère du Règlement, l’article 6, 1, f) prévoyant la même exception, formulée dans des termes identiques.

***

Il est tout à fait logique au regard des textes que l’adresse IP soit qualifiée de donnée à caractère personnel et cette qualification, à la suite de l’arrêt de la CJUE, concerne aussi bien les adresses IP statiques que dynamiques. Ces arrêts sont donc tout à fait cohérents avec les textes et vigueur. Le RGPD lui-même explique à son considérant 30 qu’une adresse IP peut permettre d’identifier son titulaire[8].

Cette qualification revêt des conséquences contraignantes pour les responsables de traitement qui doivent veiller à ce que le traitement de ces données soit conforme.

L’entrée en vigueur du RGPD en mai prochain impose à chaque responsable de traitement de vérifier la légalité du traitement des adresses IP.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de SEGONZAC, Avocat à la Cour et DPO externe

__________________________________________________________

[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[2] CJUE, 24 novembre 2011, aff. C-70/10.

[3] Par exemple : Cour d’appel de Paris, 27 avril 2007 et 15 mai 2007.

[4] Cass, crim., 13 janvier 2009, n°08-84088.

[5] CJUE, 19 octobre 2016, aff. C-582/14.

[6] Cass, 1ère civ., 3 novembre 2016, n°15-22595.

[7] Directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[8] « Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP (…). Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Lire la suite

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.

Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.

La complexité du transfert des données personnelles vers les pays tiers

Aujourd’hui, le transfert vers les pays tiers est relativement complexe.

La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.

Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui,  après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.

Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.

De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.

Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.

La flexibilité apportée par le Règlement

Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.

Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.

C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.

Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :

  1. un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
  2. des règles d’entreprise contraignantes conformément à l’article 47 (cf. « binding corporate rules » ou « BCR »); Le Règlement définit les caractéristiques que doivent respecter ces règles d’entreprises pour pouvoir être approuvées par l’autorité de contrôle. Elles devront en particulier être contraignantes pour toutes les entités concernées du groupe d’entreprises engagées dans une activité commune et conférer aux personnes concernées des droits opposables.
  3. des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  4. des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  5. un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
  6. un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :

  1. des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou
  2. des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».

Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.

Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.

Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

Lire la suite

Par une délibération du 27 avril 2017[1], la CNIL sanctionne Facebook au versement d’une somme de 150 000 euros, soit l’amende la plus haute qu’elle pouvait lui délivrer hors cas de récidive, pour violations multiples de la loi Informatique et Libertés de 1978[2].

L’analyse de cette décision permet de revenir sur plusieurs principes fondamentaux de la loi Informatique et Libertés qui encadre aujourd’hui la protection des données personnelles et dont le régime va être renforcé à compter de l’entrée en vigueur du Règlement Général sur la protection des données (« RGPD »)[3] le 25 mai 2018.

La procédure aboutissant à cette délibération

Cette délibération est l’aboutissement d’une procédure entamée en 2015. Les 8 et 9 avril 2015 en effet, la CNIL a procédé à une mission de contrôle sur place, chez Facebook France, filiale en France de Facebook Ireland et Facebook Inc. Ce premier contrôle, qui donna lieu à la rédaction de deux PV, fut suivi d’un contrôle sur pièces et de l’envoi d’un questionnaire à Facebook Inc. Un troisième type de contrôle est réalisé, en ligne cette fois-ci, le 15 décembre 2015, et un PV notifié à Facebook le 23 décembre 2015.

Ces trois contrôles finalisés, la Présidente de la CNIL décide de mettre en demeure[4] publiquement Facebook afin que soient prises en compte les mesures suivantes :

  • ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;
  • ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ;
  • recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ;
  • procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :
  • sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;
  • sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ;
  • procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de FACEBOOK s’agissant des données collectées via le cookie datr et le bouton J’aime ;
  • informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ;
  • ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ;
  • prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes;
  • procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d’exclure des personnes ;
  • ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

La procédure a par la suite pris la forme d’un accompagnement de Facebook par la CNIL, avec la réalisation de plusieurs réunions de travail, ainsi qu’un prolongement du délai de mise en demeure de trois mois, l’ensemble des manquements relevés par la CNIL demandant un important travail pour Facebook.

Le 19 juillet 2016, la société Facebook Ireland fait valoir auprès de la CNIL que selon elle la loi Informatique et Libertés n’est pas applicable et qu’elle conteste l’ensemble des points soulevés sauf deux : la nécessité de veiller à l’adéquation, à la pertinence et au caractère non excessif des données et l’obligation de disposer d’une base légale pour transférer les données à caractère personnel hors de l’Union européenne. Sur ces points, elle indique avoir tenu compte des préoccupations de la CNIL.

La société Facebook Inc. ne réagissant pas, quant à elle, à la mise en demeure, la procédure suit son cours, et débouche in fine sur la délibération du 27 avril.

Les motifs de la décision

La CNIL commence par réaffirmer sa compétence et l’applicabilité de la loi française à l’encontre de Facebook Ireland et Facebook Inc, contrairement au point soulevé par Facebook Ireland. Elle rappelle les critères d’application à savoir : l’existence d’un établissement du responsable de traitement sur le territoire d’un Etat membre et la mise en œuvre du traitement de données dans le cadre des activités de cet établissement. La CNIL identifie sans mal ces éléments, en constatant que Facebook France est un établissement stable qui exerce des activités réelles et effectives et qui prend part aux traitements des données, en participant notamment à la perception des revenus publicitaires ces dernières étant personnalisées par rapport aux centres d’intérêt des utilisateurs. Les responsables de traitement, Facebook Inc et Facebook Ireland, agissant en France par l’intermédiaire d’un établissement stable peuvent donc être poursuivis tous les deux par la CNIL en tant que coresponsables de traitement.

Violation de l’article 32 de la loi Informatique et Libertés

L’analyse des infractions permet un rappel précis de l’importance du consentement des usagers avant tout traitement de données personnelles.

En premier lieu, la CNIL souligne l’absence de mentions obligatoires sur le formulaire d’inscription. Facebook se défend en invoquant un lien placé sur ce formulaire et qui renvoie à sa politique de protection des données.

Pour la CNIL néanmoins, si les informations peuvent être transmises par strates, il n’en demeure pas moins que certaines d’entre elles doivent être accessibles directement sur le formulaire. Les informations devant être nécessairement transmises à l’utilisateur lors de son inscription sont l’identité du responsable du traitement, les finalités du traitement et toute information supplémentaire permettant de garantir un traitement loyal. Cette dernière information reste assez évasive mais l’on comprend qu’il faut que l’utilisateur donne les informations le concernant en connaissance de cause.

Par ailleurs, les droits des utilisateurs concernés (droit d’accès, d’opposition, etc.) et les éventuels transferts hors de l’Union Européenne doivent aussi être des informations transmises au préalable à l’utilisateur. Or ces deux informations sont manquantes sur le formulaire ainsi que dans la politique d’utilisation des données, et empêche ainsi les utilisateurs « d’avoir la maitrise de leurs données et du traitement dont ils font l’objet ».

Ces deux points qualifient un manquement à l’article 32 de la loi Informatique et Libertés.

Violation de l’article 7 de la loi Informatique et Libertés

La CNIL reproche à Facebook de réaliser une combinaison des données en vue de réaliser de la publicité ciblée. Les combinaisons se font avec des données collectées par des sites partenaires tiers ou des sites ou applications appartenant à Facebook. Or, pour pouvoir agir ainsi, Facebook doit recueillir le consentement éclairé, spécifique et libre des utilisateurs.

La CNIL constate que les informations sur ce sujet sont diluées au sein de trois documents différents, au lieu d’être accessibles de façon claire dans celui intitulé « Politique de protection des données ». De plus, l’ensemble de ces informations ne permet pas de cerner l’importance de ce traitement et le volume de données concernées. Le consentement n’est donc pas éclairé. De surcroît, l’impossibilité pour les utilisateurs de pouvoir s’opposer à cette combinaison de données nuit à la liberté du consentement.

Enfin, la CNIL souligne que les utilisateurs s’inscrivent au service de Facebook pour bénéficier du réseau social mais non pas pour recevoir de la publicité ciblée. Cette combinaison de données ne correspond donc pas à l’objet du contrat conclu avec les utilisateurs, quand bien même, comme l’invoque Facebook, cette publicité serait nécessaire pour permettre la mise à disposition gratuite de ce service. L’équilibre entre l’intérêt économique de Facebook et les droits fondamentaux des utilisateurs n’est pas respecté et l’article 7 de la loi Informatique et Libertés violé.

Collecte et traitement loyal des données

Ce point concerne plus précisément le cookie datr utilisé par Facebook qui permet de suivre la navigation de personnes inscrites ou non sur Facebook dès lors qu’elles vont sur Facebook.com ou qu’elles cliquent sur le bouton « j’aime » même si ce boutin est présent sur un site tiers. Ce cookie, d’après Facebook, a une finalité de sécurité en permettant en particulier d’analyser la navigation des internautes afin d’éviter les attaques.

La CNIL relève principalement le manque d’informations délivrées aux utilisateurs dans le bandeau d’informations. Ce bandeau, renvoyant à la politique des données de Facebook, ne comprend pas suffisamment d’éléments permettant à l’Utilisateur de prendre conscience que le dépôt de ce cookie entraîne un suivi détaillé de sa navigation. Par ailleurs, la finalité sécuritaire n’est pas justifiée pour les personnes non inscrites sur Facebook.

Pour toutes ces raisons, le manquement à l’article 1er de la loi de 1978 qui impose une collecte et un traitement loyal des données est caractérisé.

Obligation de recueillir le consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle

Ce point de la décision est particulièrement intéressant et peut viser de nombreux sites internet, en premier lieu les sites de rencontres. Le formulaire d’inscription contient des informations qui sont cataloguées dans les données sensibles. En particulier les données sur l’origine ethnique et sur la vie sexuelle. Pour le traitement de ces données, l’article 8 de la loi de 1978 demande à ce que le consentement soit exprès.

Pour Facebook, le renseignement volontaire de ces informations par l’utilisateur est la preuve du consentement exprès. Pour la CNIL à l’inverse, le renseignement spontané doit être complété par une action positive prouvant l’existence du consentement (case à cocher par exemple). La CNIL relève par ailleurs que la politique des données personnelles ne comprend pas d’informations spécifiques sur le traitement de ces données sensibles. Le manquement est donc caractérisé.

Obligation de mettre à disposition un moyen valable d’opposition aux informations (cookies) stockées sur l’équipement terminal de communications électroniques des utilisateurs

La CNIL revient sur les cookies déposés par Facebook et relève qu’ils sont de deux ordres : techniques d’une part, et donc indispensables au fonctionnement du réseau social, et first party, d’autre part, à finalité publicitaire. Or, le bandeau d’information, en renvoyant au paramétrage du navigateur pour bloquer les cookies n’offre pas de solution satisfaisante. Soit tous les cookies sont bloqués, ce qui empêche l’utilisateur d’accéder au service, soit l’utilisateur bloque uniquement les cookies third party, mais ne peut pas empêcher le dépôt des cookies first party à finalité publicitaire. Le paramétrage ne permet donc pas de s’opposer valablement ce qui constitue un manquement à l’article 32 de la loi Informatique et Libertés.

Ce point est loin d’être anodin à l’heure du Règlement européen. Celui-ci impose en effet une conformité by design et by default. Il revient au responsable de traitement de créer des outils permettant de s’opposer efficacement aux cookies qui ne sont pas nécessaires à l’exécution d’un service et de prévoir une information accessible sur cette opposabilité.

Durée de conservation des données

Le dernier manquement concerne la durée de conservation des données en particulier des adresses IP. Pour Facebook, la collecte de ces données personnelles correspond à trois finalités : une finalité de sécurité pour lutter contre les contenus illicites, une finalité de protection des enfants liée à la nécessité d’informer rapidement les autorités compétentes lors de la détection d’images pédophiles et enfin une finalité de réponse aux requêtes des autorités publiques.

Ces finalités ne justifient pas, pour la CNIL, que les données soient conservées tant que le compte est ouvert. Il revient au responsable de traitement de pouvoir définir une durée de conservation adéquate et démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte. Etant donné que Facebook ne peut réaliser cette démonstration, le manquement à l’article 5 de la loi est caractérisé.

Ce point constitue lui aussi un rappel important pour les responsables de traitement : la durée de conservation choisie, lorsqu’elle n’est pas imposée par un texte, doit pouvoir être justifiée. C’est donc en amont qu’il faut réfléchir à cette question afin de pouvoir expliquer en quoi la durée est proportionnelle à la finalité du traitement.

***

Compte tenu du nombre important des utilisateurs de Facebook et de la collecte massive des données, la CNIL a jugé nécessaire de rendre publique cette délibération.

Elle permet de refaire un tour des points fondamentaux de la loi de 1978, notamment en ce qui concerne l’importance du consentement libre et éclairé de la personne concernée et de son droit d’opposition.

Seule le montant de la sanction peut laisser à désirer pour un acteur de la taille de Facebook.

C’est l’occasion de redire ici que cette ère des sanctions faibles se termine, pour laisser place dès le mois de mai 2018 – après la parenthèse de la loi Lemaire qui n’aura pas eu le temps d’être beaucoup appliquée dans son volet données à caractère personnel -, à l’ère des sanctions potentiellement très élevées (2 à 4% du chiffre d’affaires mondial).

Gageons que Facebook est en train de prendre des mesures de mise en conformité afin d’éviter que ses infractions à la loi de 1978 ne se transforment l’année prochaine en infractions au RGPD dont les conséquences seraient alors toute autre…

Cette délibération donne aussi des pistes mutatis mutandis – à tous les acteurs du numérique en ce qui concerne les points à considérer, que ce soit pour les cookies, les formulaires d’inscription, ou encore les durées de conservation afin d’éviter à l’avenir à la fois une mauvaise publicité et une sanction pécuniaire pénalisante.

Comme cela a été souligné pour les cookies en particulier, les obligations de privacy by design et by default sont donc à prendre en compte dès aujourd’hui afin de ne pas être en contradiction avec le Règlement en mai prochain. Plus qu’un an…

Pascal Alix, avocat et CIL

Hubert de Segonzac, avocat et CIL

[1] Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant  la directive 95/46/CE.

[4] Décision n° 2016-007 du 26 janvier 2016 concernant les traitements de données mis en œuvre dans le cadre du réseau social FACEBOOK.

Dans les petites entreprises françaises, la désignation d’un Correspondant Informatique et Libertés (CIL), futur « délégué à la protection des données »[1] est généralement perçue comme un coût, une variable d’ajustement, une non-priorité. Cette conception repose sur l’idée selon laquelle  la mise en conformité avec l’aide du « CIL » a un coût, prend du temps et de l’énergie, alors que le risque encouru en cas de non-conformité  est très faible. Ce fut vrai. Ce ne l’est plus.

Rappelons qu’actuellement le CIL peut être externe à l’entreprise dans les entreprises où moins de cinquante personnes sont « chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés »[2]. Le CIL externe peut, depuis 2009, être avocat[3], en satisfaisant manifestement à l’exigence d’indépendance[4].

Pourquoi désigner un CIL externe ?

  • Parce que la plupart des petites entreprises sont actuellement hors la loi

Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité.  Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au  pourcentage de non-conformité des petites structures, il est  encore bien  plus important.

  • Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques

Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.

  • Parce que la non-conformité met en danger le modèle économique de l’entreprise

Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.

  • Parce qu’en 2017, les règles du jeu vont changer en France

Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :

  • un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
  • un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
  • Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.
  • Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore

A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :

  • En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
  • En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
  • En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
  • En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
  • En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
  • En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
  • En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).
  • Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données

Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.

  • Parce que la conformité va devenir à court terme un avantage concurrentiel

Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel  avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».

  • Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures

La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

  • Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise

Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.

  • Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique

Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].

Pascal ALIX, Avocat à la Cour et CIL

Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL

[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié

[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat

[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978

[5] PwC/Iron Mountain, « Beyond Good Intentions »

[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016

[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015

[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »

[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat

[10] 29 occurrences

[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation

[12] 33 occurrences

[13] 68 occurrences

[14] Article 14 du Règlement

[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015

[16] Article 22 III. de la loi

[17] Article 37 5. du Règlement

[18] Article 37 6. du Règlement

A l’heure des objets connectés et de la vidéoprotection, à l’heure des « Smart Cities » ou « villes numériques » visant à la participation active des citoyens à la vie de la cité, à l’heure du tout numérique et des procédures administratives dématérialisées, la politique de protection des données personnelles mises en œuvre par les collectivités publiques ne peut plus être un sujet annexe.

Pourtant, cette problématique n’apparaît pas encore comme une priorité. Le budget dévolu à la sécurité des systèmes informatiques n’évolue pas ou très faiblement pour la majorité des communes alors même que les données affluent de plus en plus. Par ailleurs, les collectivités sont encore peu nombreuses à avoir nommé un correspondant Informatique et Libertés (futur « délégué à la protection des données » selon le Règlement européen). Une carte publiée par la CNIL indique en effet qu’en 2015, seules 650 collectivités locales sur 36700 en avaient un[1].

Les communes, et à leur tête les maires, sont peut-être encore peu au fait des risques qui pèsent en cas de violation de leur part de la loi Informatique et Libertés. C’est pourtant une raison de mise en cause de la responsabilité pénale du maire (5 ans d’emprisonnement, 300 000 euros d’amende). La CNIL prend d’ailleurs très au sérieux le respect de la loi Informatique et Libertés par les personnes publiques. Sa politique de contrôles pour l’année 2015 annonçait ainsi le contrôle des « Outils de mesure de fréquentation des lieux publics » dont beaucoup de collectivités se dotent aujourd’hui afin d’optimiser l’espace. Une étude des avertissements de la CNIL montre d’ailleurs que les collectivités territoriales ne font pas exception aux contrôles. Un exemple parmi d’autres concerne un avertissement adressé par la CNIL à une commune le 9 avril 2015, en raison d’un fichier relatif à la gestion des inscriptions scolaires, dont les données collectées étaient inadéquates, non pertinentes et excessives. Les citoyens étant de plus en plus formés à la problématique des données personnelles, leurs attentes dans ce domaine vont aller grandissantes. L’impact de tels avertissements pour les communes et in fine leurs élus, au-delà même des risques pénaux, peut être destructeur en termes de communication et de confiance.

Ces différentes raisons vont nécessairement amener des évolutions et une prise de conscience.

L’une de ces évolutions va même être imposée puisqu’à compter du 25 mai 2018, jour de l’entrée en vigueur du Règlement européen sur les données personnelles, la nomination d’un délégué à la protection des données (ex-« CIL ») sera rendue obligatoire dans chaque « autorité publique » ou « organisme public »[2].

Mais sans attendre mai 2018, la nomination d’un CIL dès aujourd’hui revêt de nombreux atouts.

Le CIL permet en effet au responsable du traitement, en l’occurrence le Maire dans une commune, ou le président de l’établissement public de coopération intercommunale (par ex. communauté de communesd’être accompagné notamment lors de la mise en place de nouveaux traitements de données et de la modification des traitements existants. Or ces derniers sont particulièrement nombreux dans une collectivité et peuvent revêtir des questions juridiques complexes. Le traitement de certaines données sensibles nécessite en effet des demandes d’avis ou d’autorisation auprès de la CNIL. Parmi ces données, se trouvent les données relatives aux infractions et aux condamnations, qui intéressent la police municipale, les données biométriques, les appréciations sur les difficultés sociales des personnes (fichiers des centres communaux d’action sociale,…). Une autorisation est encore nécessaire à chaque fois que la collectivité procède à une interconnexion de fichiers dont les finalités sont différentes. Ces interconnexions sont pourtant amenées à être de plus en plus souvent effectuées, en raison des applications gérées par les collectivités et des objets connectés.

Le CIL permet aussi, toujours dans sa mission d’accompagnement, de procéder à la mise en conformité si des demandes d’avis ou d’autorisation n’ont pas été pas été effectuées ou irrégulièrement effectuées, si la sécurité informatique est insuffisante (absence de PSSI et de matrice d’habilitation, mesures techniques et de protection des données insuffisantes, etc.) ou si des recommandations n’ont respectées. Les règles de protection de données personnelles concernent l’ensemble des traitements de données, que ces données soient relatives au personnel interne à la collectivité ou aux administrés. Ainsi par exemple, alors que les exigences en termes de sécurité des citoyens sont de plus en plus fortes, un système de vidéo protection ne peut être installé sans respect des recommandations de la CNIL[3] en veillant en particulier à la proportionnalité du dispositif déployé. La CNIL contrôle aussi les dispositifs en ligne des collectivités (sites internet, applications, téléservices,…). Ces contrôles en ligne ont ainsi montré que plus de 60% des communes ne sécurisent pas l’espace dédié à la dématérialisation des demandes d’actes d’état civil. Cette mise en conformité peut être accompagnée d’une sensibilisation des agents qui ont accès au traitement des données aux problématiques juridiques liées à ces traitements afin de limiter les risques.

Enfin, la nomination d’un CIL permet à la collectivité d’innover dans le respect de la loi. La demande des citoyens est forte de bénéficier de services en ligne (dématérialisation). A court terme, la grande majorité des communes disposera de son application afin de communiquer des informations et de connaître plus finement les attentes des habitants. Le CIL peut avoir pour rôle de vérifier, en amont, que ces outils respectent les règles en matière de données personnelles et de garantir aux élus une innovation respectueuse des règles légales. Ce service du CIL sera particulièrement précieux à compter de l’entrée en vigueur du Règlement européen qui impose lors de la mise en place d’innovations pouvant créer des risques en matière de protection des données personnelles la réalisation, avant tout développement, d’une analyse d’impact[4]. Pour la réaliser, le recours à un spécialiste sera, en pratique, nécessaire.

Le CIL peut être nommé en interne[5] ou être un prestataire externe. La loi n’est actuellement pas très exigeante puisqu’il faut simplement que la personne nommée dispose des « qualifications requises », sans qu’aucune précision ne soit apportée sur ce point. Or, le Règlement est bien plus précis et impose que le CIL soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (…) »[6]. Les connaissances juridiques et l’indépendance statutaire de l’avocat praticien du droit des nouvelles technologies, qui peut être CIL depuis 2009, le désigne tout naturellement pour accomplir une telle mission. Plusieurs collectivités ou un groupement de collectivités (Par ex. communautés de communes) peuvent, au demeurant, désigner un CIL mutualisé qui peut être un CIL externe.

Pascal Alix, Avocat et CIL

Hubert de Ségonzac, Avocat et CIL

[1] Gazette des communes, 4 septembre 2015, Protection des données personnelles : y a-t-il un CIL près de chez vous ?

[2] Article 37.

[3] Délibération n°94-056 du 21 juin 1994.

[4] Article 35.

[5] Le CIL est obligatoirement nommé en interne lorsque plus de 50 personnes sont chargés de la mise en œuvre des traitements ou y ont accès. L’entrée en vigueur marquera l’abandon de ce critère et la possibilité de recourir à un CIL externe dans tous les cas.

[6] Article 37.

 

La Directive n° 95/46 de 1995[1] sur la protection des données personnelles fait apparaître au sein de son article 18 le « détaché à la protection des données à caractère personnel », sans en rendre sa nomination obligatoire ni encadrer la nomination de ce nouvel acteur. La Directive laisse les Etats membres définir plus précisément ce nouvel acteur.

C’est lors de la transposition de la Directive par la loi du 6 août 2004[2], que le « détaché à la protection des données » fait son apparition dans la loi « informatique et libertés » du 6 janvier 1978, en étant renommé « correspondant à la protection des données à caractère personnel ». Par commodité, les professionnels du secteur des données à caractère personnel et la CNIL elle-même (qui déposera même la marque « CIL ») le dénommeront « correspondant Informatique et Libertés » (« CIL »).

Le CIL est mentionné dans l’article 22 dans la loi. Mais son rôle et son statut sont principalement encadrés par le décret du 20 octobre 2005[3] dont un titre entier lui est consacré.

Cet acteur majeur dans la protection des données personnelles en raison de son lien privilégié avec la CNIL a mis du temps à s’imposer, une minorité d’entreprises ayant aujourd’hui recours à un CIL.

Mais ces dernières années, le nombre de CIL a très fortement augmenté. Ce principalement pour trois raisons :

  • La prise de conscience récente de l’enjeu que représente la protection des données personnelles pour les entreprises (image, risques, avantage concurrentiel dans le B to B comme dans le B to C),
  • L’augmentation des sanctions dans le projet de loi sur la République Numérique et le Règlement européen sur la protection des données à caractère personnel,
  • L’obligation de désigner, au plus tard le 25 mai 2018, un correspondant (qui sera alors dénommé « délégué à la protection des données » ou « data protection officer – DPO » en anglais) pour un grand nombre d’entreprises, selon la taille de celles-ci, le volume et/ou le type de données traitées.

Le Règlement du 27 avril 2016[4] qui abroge la Directive de 1995 renforce de façon conséquente les obligations des responsables de traitement, rendant le recours à un spécialiste de la protection des données personnelles rapidement indispensable afin d’éviter de courir le risque de sanctions très lourdes.

Le CIL, acteur majeur trop peu utilisé

Le terme de « Correspondant » préféré par le législateur français au terme de « Détaché » utilisé par la Directive, tend à souligner le rôle principal de cet acteur : faire le lien entre la structure qui l’a nommé et les services de la CNIL en étant appelé à travailler en étroite collaboration avec elle.

Le « correspondant » demeure indépendant par rapport à la CNIL, la loi de transposition précise qu’il « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ».

Le CIL peut être un salarié, un membre de la structure ou un prestataire externe dès lors que moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès. Les avocats sont particulièrement légitimes pour jouer ce rôle, en raison de leurs connaissances juridiques et de leur indépendance. Le Règlement Intérieur National qui s’applique à la profession d’avocat encadre d’ailleurs précisément l’avocat-CIL depuis 2009.

Le CIL est tenu principalement de :

  • dresser une liste des traitements automatisés de données nominatives,
  • assurer le respect des obligations prévues dans la loi Informatique et Libertés et à ce titre inscrire au registre tous les traitements nécessitant normalement une déclaration à la CNIL (ne nécessitant pas ou n’ayant pas fait l’objet d’une demande d’autorisation préalable à la CNIL).
  • informer le responsable des traitements des manquements constatés et le conseiller dans la réponse à apporter pour y remédier,
  • établir un bilan annuel à présenter au responsable des traitements et à tenir à disposition de la CNIL,
  • procéder à la sensibilisation du responsable de traitement ainsi que de son personnel, en procédant autant que possible à des formations,
  • recevoir les réclamations et requêtes des personnes concernées par les traitements, pour permettre l’exercice de leurs droits.

Les responsables de traitement qui procèdent à cette nomination bénéficie d’un allègement des formalités à effectuer auprès de la CNIL, les déclarations n’ayant plus à être effectuées.

Du CIL au DPO : l’émergence d’un expert incontournable

Alors que le CIL reste encore aujourd’hui relativement peu connu et peu utilisé, le Règlement du 27 avril 2016 place le « Data Protection Officer » (« DPO ») – ou « délégué à la protection des données » (« DPD ») en français – au cœur du nouveau dispositif de protection des données personnelles en lui consacrant une section entière.

Il en rend la nomination obligatoire, même dans les petites structures :

  • pour les autorités publiques et les organismes publics,
  • pour les structures dont les activités de base en tant que responsable ou sous-traitant exigera « « un suivi régulier et systématique à grande échelle des personnes concernées »,
  • et enfin pour les structures, responsables ou sous-traitants, dont le traitement consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

Il s’ensuit que de nombreuses entreprises aujourd’hui sans CIL sont susceptibles de se retrouver dans l’obligation de nommer un DPO qu’elles soient responsable du traitement ou sous-traitante.

Par ailleurs, même pour les structures qui ne seront pas concernées par l’obligation de nommer un DPO, les obligations nouvelles qui pèsent sur les responsables du traitement/sous-traitants et les sanctions auxquelles ceux-ci s’exposent en cas de non-respect de ces obligations vont rendre la nomination d’un DPO malgré tout particulièrement recommandée. Il reviendra en effet aux responsables de traitement et sous-traitants, entre autre, dans certains cas précis tel que le traitement à grande échelle de données sensibles, de réaliser une étude d’impact avant la mise en œuvre du traitement (article 35). De manière générale, le Règlement européen sur la protection des données, document complexe de plus de 200 pages, nécessite des compétences particulières et notamment des compétences juridiques pour être correctement interprété.

La plupart des CIL d’aujourd’hui deviendront les DPO de demain, sous réserve toutefois de justifier des compétences juridiques et techniques requises. Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions », sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données ».

Procéder dès aujourd’hui à la nomination d’un CIL compétent en matière juridique et en matière de protection des données, et qui deviendra le DPO demain, permet de préparer l’entreprise ou l’organisme à l’application de la loi sur la République Numérique en cours d’adoption, ainsi qu’à l’application, à compter du 25 mai 2018, du Règlement européen ainsi, sachant que la sanctions administratives des non-conformités vont considérablement augmenter, pour passer, dans un premier temps (Loi Lemaire) à 3.000.000 euros au premier manquement et, dans un second temps (25 mai 2018) à 20.000.000 € ou 4% du chiffre d’affaires mondial.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, Avocat et CIL

========================================================================

[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[3] Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[4] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant  la directive 95/46/CE


 

Pourquoi désigner un CIL externe ?

 

  • Parce que la plupart des petites entreprises sont actuellement hors la loi

Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité.  Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au  pourcentage de non-conformité des petites structures, il est  encore bien  plus important.

 

  • Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques

Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.

 

  • Parce que la non-conformité met en danger le modèle économique de l’entreprise

Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.

 

  • Parce qu’en 2017, les règles du jeu vont changer en France

Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :

 

  • un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
  • un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
  • Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.
  • Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore

A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :

 

  • En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
  • En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
  • En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
  • En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
  • En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
  • En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
  • En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).
  • Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données

Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.

 

  • Parce que la conformité va devenir à court terme un avantage concurrentiel

Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel  avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».

 

  • Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures

La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

 

  • Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise

Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.

 

  • Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique

Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].

Pascal ALIX, Avocat à la Cour et CIL

Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL

 

[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié

[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat

[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978

[5] PwC/Iron Mountain, « Beyond Good Intentions »

[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016

[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015

[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »

[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat

[10] 29 occurrences

[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation

[12] 33 occurrences

[13] 68 occurrences

[14] Article 14 du Règlement

[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015

[16] Article 22 III. de la loi

[17] Article 37 5. du Règlement

[18] Article 37 6. du Règlement

Le Règlement 2016/679 sur la protection des données personnelles (RGPD) abroge la Directive 95/46/CE datant de 1995.

A la différence d’une Directive, le Règlement s’impose uniformément dans tous les Etats membres de l’Union européenne sans que ces Etats n’aient besoin d’adopter une loi pour transposer les nouvelles règles dans le droit étatique. Le Règlement est un facteur d’unité en matière d’encadrement juridique du traitement des données personnelles dans l’Union européenne.

Le Règlement, facteur d’unité

La disparité des lois de transposition entrainait une perte de confiance des personnes physiques lorsque leurs données circulaient au sein de l’Union, la protection de ces données n’étant pas équivalente entre les différents Etats membres et représentait aussi un frein conséquent pour une concurrence saine au sein de l’Union, les entreprises pouvant être tentées de favoriser une implantation dans les Etats où la loi de transposition était la moins stricte. Cette disparité était encore un facteur de coût et d’insécurité juridique pour les entreprises. En effet, selon le pays dans lequel une entreprise collecte ou souhaite transférer des données, le niveau de protection des données et la réglementation s’appliquant à leur traitement n’étaient pas équivalents. Les autorités de contrôle ne pouvaient, par ailleurs, sanctionner et surveiller de façon cohérente.

L’harmonisation permet de mettre un terme à ces difficultés.

Si le RGPD concède à certains endroits une certaine liberté aux Etats membres de l’UE, son considérant 8 précise que ces marges de manœuvre se limitent à « la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent ». Il n’est donc pas question, a priori, de créer des différences de fond, mais de respecter l’ordre juridique interne des Etats-membres là où une uniformité ne serait pas respectueuse des disparités nationales.

Respect de la diversité de l’organisation administrative des Etats membres

Parmi les articles au sein desquels il est précisé que chaque Etat membre bénéficie de souplesse dans leur application, plusieurs concernent des questions d’organisations internes.

Ainsi, si le Règlement impose la création d’une autorité de contrôle en matière de données personnelles, une grande liberté est laissée aux Etats quant aux critères de sélection des membres de ces autorités, au mode de nomination, à la durée de leur mandat, etc.

Le respect de la structure organisationnelle des Etats membres se retrouve encore dans la possibilité qui leur est laissée de préciser eux-mêmes les opérations et procédures de traitement des données à caractère personnel par les juridictions et autres autorités judiciaires, avec la volonté explicite de respecter ainsi la séparation des pouvoirs (considérant 20).

Enfin, le respect de la séparation des pouvoirs au sein des Etats membres se retrouve encore dans la liberté totale laissée en matière de fixation de la sanction pénale. Si l’article 83 fixe le montant des amendes administratives, l’article 84 laisse les Etats membres déterminer le régime des autres sanctions applicables en cas de violation du Règlement. Ces sanctions devront néanmoins être « effectives, proportionnées et dissuasives ».

Liberté pour les Etats membres de renforcer les règles encadrant certaines données

Le respect des souverainetés nationales est visible dans la possibilité laissée aux Etats membres de renforcer certaines règles lorsque celles-ci concernent des données sensibles ou présentant un intérêt public. L’article 6§2 permet ainsi aux Etats membres de déterminer « plus précisément les exigences spécifiques applicables au traitement » nécessaire notamment à l’exécution d’une mission d’intérêt public.

L’article 9 quant à lui pose comme principe l’interdiction du traitement des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, données génétiques, données concernant la santé ou la vie sexuelle ou l’orientation sexuelle) avant de présenter des exceptions à ce principe (consentement de la personne concernée, sauvegarde des intérêts vitaux,…). Le Règlement laisse néanmoins la possibilité pour les Etats membres de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ». La flexibilité n’autorise ici que l’ajout de conditions en vue de renforcer les règles, le Règlement fixant donc quoiqu’il en soit un minimum de protection dans le traitement des données sensibles relatives à la santé.  

Liberté d’encadrement pour les Etats membres relative à certains secteurs

Enfin, certains secteurs spécifiques font l’objet de contraintes moins fortes imposées par le Règlement afin de respecter, là encore, l’organisation et la culture des Etats membres. Ces secteurs sont en particulier ceux de la presse et de l’audiovisuel. Il revient ainsi aux Etats membres de fixer les exemptions et dérogations nécessaires aux fins d’assurer un équilibre entre le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information. Le considérant 153 précise que pour ces secteurs, en cas de disparité au sein des Etats membres, c’est le droit de l’Etat membre dont relève le responsable du traitement qui devra s’appliquer.

Le secteur des ressources humaines offre lui aussi une possibilité accrue pour les Etats membres de prévoir des règles propres. La particularité ici est que les règles spécifiques pourront être créées par le droit des Etats membres, des conventions collectives ou par le droit découlant des accords d’entreprises. Les règles concernées sont toutes celles relatives au traitement des données personnelles dans la relation de travail (recrutement, exécution du contrat de travail, planification de l’organisation du travail, etc.). Ce dernier secteur fera donc sans doute l’objet d’une attention particulière dans les années à venir, des disparités concernant le traitement des données des salariés risquant d’apparaître régulièrement, au gré des modifications des conventions collectives ou des accords d’entreprises. Les syndicats auront un rôle important à jouer dans la défense des données de ces salariés.

***

Le Règlement a cherché à préserver, dans cette uniformisation des règles applicables au traitement des données personnelles, quelques libertés pour les Etats membres afin de respecter les organisations internes ou des secteurs spécifiques.

L’avenir nous montrera si les petites brèches dans l’uniformité n’ont pas créé trop de différences notables, la recherche saine et juste de l’équilibre entre uniformité et liberté en amont laissant courir un risque de déséquilibre, en aval, dans l’usage que les Etats membres feront de ces petits espaces de liberté.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, avocat et CIL

La CNIL est, rappelons-le, habilitée par l’article 24 de la loi du 6 janvier 1978 modifiée à établir des normes destinées à simplifier l’obligation de déclaration des traitements informatisés « les plus courants ». Parmi ces traitements les plus courants figure la gestion de clients et de prospects.

Compte tenu de l’évolution du commerce et des méthodes de prospection, la norme simplifiée n° 48, adoptée le 7 juin 2005, a été modifiée le 21 juin 2012.

Par une délibération n° 2016-264 du 21 juillet 2016, publiée au JORF du 14 septembre 2016, la CNIL, prenant en considération l’évolution du droit et de la pratique, notamment en matière de vente de biens ou de fourniture de services à distance, sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs ainsi que la mise en œuvre du nouveau système dénommé « BLOCTEL », ayant pour finalité la gestion de la liste d’opposition au démarchage téléphonique a modifié la norme simplifiée 48 de la manière suivante :

En sus des finalités visées par la NS 48 issue de la délibération du 21 juin 2012, à savoir :

  • effectuer les opérations relatives à la gestion des clients concernant :
  • les contrats ;
  • les commandes ;
  • les livraisons ;
  • les factures ;
  • la comptabilité, et en particulier la gestion des comptes clients ;
  • un programme de fidélité au sein d’une entité ou de plusieurs entités juridiques ;
  • le suivi de la relation client tel que la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;
  • effectuer des opérations relatives à la prospection :
  • la gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) ;
  • la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
  • la réalisation d’opérations de sollicitations ;
  • l’élaboration de statistiques commerciales ;
  • la cession, la location ou l’échange de ses fichiers de clients et de ses fichiers de prospects ;
  • l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de régulation des jeux en ligne ;
  • la gestion des demandes de droit d’accès, de rectification et d’opposition ;
  • la gestion des impayés et du contentieux, à condition qu’elle ne porte pas sur des infractions et/ou qu’elle n’entraîne pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat ;
  • la gestion des avis des personnes sur des produits, services ou contenus.

La nouvelle NS 48 vise également les finalités suivantes :

– effectuer les opérations relatives à la gestion des clients concernant :

– la sélection de clients pour réaliser des études, sondages et tests produits. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6 de la présente norme, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;

– la sélection de personnes pour réaliser des actions d’étude. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;

– l’actualisation de ses fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, en application des dispositions du code de la consommation ;

S’agissant des données, la nouvelle NS 48 vise les nouvelles données suivantes :

Les données relatives aux moyens de paiement suivantes : cryptogramme visuel (ce dernier ne devant pas être conservé, conformément à l’article 5 de la présente norme) ;

Les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion, la sélection des personnes ne pouvant résulter que de l’analyse des données listées au présent article ;

Les données collectées par le biais des actions visées à l’article 32-II de la loi du 6 janvier 1978 modifiée, dans le respect des recommandations figurant dans la délibération n° 2013-378 du 5 décembre 2013 (cookies et traceurs).

Parmi les personnes pouvant avoir accès aux données à caractère personnel,

Est ajouté l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique (« BLOCTEL »).

S’agissant des durées de conservation, la NS 48 est profondément réformée, pour obéïr désormais aux principes suivants :

  • Les données peuvent désormais faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation). Il convient de prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active ;
  • Pour pouvoir conserver, au-delà de la durée de conservation fixée au regard de l’article 6 (5°) de la loi, des informations relatives à des clients ou des prospects à des fins d’analyses ou d’élaboration de statistiques agrégées, les données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d’anonymisation ;
  • Pour déterminer la date du dernier contact émanant d’un prospect, une demande de documentation ou un clic sur un lien hypertexte dans un courriel ne peut être considéré comme un contact.

Les données de fréquentation brutes associant un identifiant peuvent désormais être conservées 13 mois et non plus seulement 6 mois.

S’agissant de l’information, du consentement et de l’exercice des droits :

La CNIL a ajouté les précisions suivantes :

Lorsque les données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6° de l’article 32. Cette disposition vise les questionnaires au sens large et, notamment, les formulaires à compléter sur un site web.

Lorsque les données à caractère personnel n’ont pas été recueillies directement auprès des personnes concernées, les modalités d’information des personnes sont prévues par les dispositions de l’article 32-III de la loi. Le recueil du consentement exprès et spécifique de la personne concernée, dans les cas suivants :

– la prospection réalisée au moyen des dispositifs visés par l’article L. 34-5 du code des postes et des communications électroniques (système automatisé de communications électroniques au sens de l’article L. 32 du CPCE – SMS, MMS, automate d’appel, Bluetooth, etc. – télécopieur et courrier électronique). Toutefois, dans les conditions visées par l’article L. 34-5 du CPCE, le recueil du consentement n’est pas requis lorsque le courrier électronique concerne des produits ou services analogues ;

– la cession à des partenaires des adresses électroniques ou des numéros de téléphone utilisés à des fins de prospection directe au moyen des dispositifs précités visés par l’article L. 34-5 du CPCE ;

– la collecte ou la cession des données susceptibles de faire apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou qui sont relatives à la vie sexuelle de celle-ci (par exemple, eu égard au type de documentation demandé, à la nature du produit acheté, du service ou de l’abonnement souscrit) ;

Les consommateurs qui ne souhaitent pas faire l’objet de prospection commerciale par voie téléphonique peuvent s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique prévue par les articles L. 223-1 et suivants du code de la consommation. Il est notamment interdit à un professionnel, directement ou par l’intermédiaire d’un tiers agissant pour son compte, de démarcher téléphoniquement un consommateur inscrit sur la liste d’opposition, sauf en cas de relations contractuelles préexistantes. La location ou la vente de fichiers contenant des données téléphoniques et comportant les coordonnées d’un ou de plusieurs consommateurs inscrits sur la liste est également interdite.

D’où la nécessité de mettre régulièrement à jour les fichiers susceptibles d’être loués ou cédés.

Le contrôle du respect de ces obligations est assuré par les services de la direction générale de la concurrence, de la consommation et de la répression des fraudes du ministère de l’économie, de l’industrie et du numérique.

Conformément à l’article 39 de la loi, toute personne peut demander au responsable de traitement la communication, sous une forme accessible, des données à caractère personnel la concernant ainsi que toute information quant à l’origine de celles-ci. Le droit de rectification s’exerce dans les conditions prévues à l’article 40 de la loi.

La CNIL anticipe l’application du Règlement européen sur la protection des données à caractère personnel.

S’agissant des cookies, la CNIL a également apporté des précisions :

Les cookies de mesure d’audience peuvent être déposés et lus sans recueillir le consentement des personnes lorsqu’ils remplissent les conditions visées à l’article 6 de la délibération n° 2013-378 du 5 décembre 2013, portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

De manière générale, pour l’ensemble des traitements mis en œuvre pour les finalités définies à l’article 2 de la présente norme qui utilisent des données collectées par le biais des technologies visées à l’article 32-II de la loi, la présente norme renvoie aux recommandations de la délibération n° 2013-378 du 5 décembre 2013 susvisée.

Lorsque l’utilisation d’un service de communication au public en ligne donne lieu à la création d’un compte par l’utilisateur, les données doivent être effacées dès que le compte est supprimé, sous réserve des exceptions listées à l’article 5 de la présente norme.

S’agissant des comptes n’étant plus utilisés depuis un certain laps de temps par l’utilisateur, un délai doit être fixé pour déterminer la durée à partir de laquelle ces comptes doivent être considérés comme des comptes inactifs. Au terme de ce délai, les données relatives au compte inactif doivent être supprimées. Le responsable de traitement doit avertir l’utilisateur par tous les moyens disponibles avant de procéder à cette suppression et lui donner la possibilité de manifester sa volonté contraire. Il est envisageable que la personne concernée donne son consentement spécifique pour que tout ou partie des données soient archivées par le responsable de traitement, pour une durée déterminée et raisonnable, en vue d’une réactivation future du compte.

Le laps de temps au terme duquel un compte doit être considéré comme inactif doit être défini par le responsable de traitement conformément aux dispositions de l’article 6 (5°) de la loi du 6 janvier 1978 modifiée. A titre indicatif, une durée de deux ans semble par exemple appropriée pour un compte créé sur un site de rencontres.

Dans tous les cas, le responsable de traitement doit ménager la possibilité pour la personne concernée d’exercer ses droits si des données à caractère personnel la concernant restent traitées indépendamment de la clôture du compte et de la suppression des données de celui-ci.

S’agissant de la sécurité

Pour déclarer que les traitements sont conformes à la norme simplifiée, il est désormais précisé que :

  • Les mots de passe ne doivent pas être stockés « en clair »,
  • Le transit des données doit faire l’objet de mesures techniques « visant à rendre ces données incompréhensibles à toute personne non autorisée » (par exemple, protocole HTTPS),
  • De manière générale, s’agissant de mesures de sécurité à mettre en place pour les données relatives aux cartes bancaires, la présente norme renvoie vers l’article 5 de la délibération n° 2013-358 du 14 novembre 2013 susvisée.
  • Concernant les pièces d’identité, celles-ci ne doivent être accessibles qu’à un nombre de personnes restreint, et des mesures de sécurité doivent être mises en œuvre afin d’empêcher toute réutilisation détournée de ces données (apposition d’un marquage spécifique, fourniture du seul recto de la pièce d’identité et photocopie en noir et blanc par exemple).

S’agissant des transferts de données à l’étranger

Il est désormais précisé, dans la nouvelle NS 48, qu’elle couvre notamment les transferts de données vers l’étranger qui « s’effectuent à destination d’un pays reconnu par la Commission européenne comme assurant un niveau de protection adéquat en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue de négociations avec la Commission européenne, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes » ou qui sont « encadrés par les clauses contractuelles types de la Commission européenne ou par des règles internes d’entreprise (« Binding Corporate Rules », ou BCRou des clauses contractuelles ad hoc dont la CNIL a préalablement reconnu qu’elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.

Pascal Alix, Avocat et CIL