Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Afin de lutter contre la pandémie de COVID-19 et encadrer au mieux le déconfinement, le Gouvernement français prévoit de déployer, sur la base du volontariat, l’application mobile « StopCovid ».

Cette application de « contact tracing » a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus.

Saisis par le Secrétaire d’Etat chargé du numérique, le 20 avril 2020, d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid », les membres du collège de la CNIL se sont prononcés le 24 avril 2020 sur la mise en place de cette application.

Tout en reconnaissant la situation sanitaire exceptionnelle à laquelle la France est confrontée, la CNIL rappelle qu’une application de portée nationale ne doit pas porter atteinte aux principes constitutionnels que sont la protection de la vie privée et la liberté de mouvement et « ne doit être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé ».

La CNIL alerte sur le fait que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être réservé à certaines situations exceptionnelles ».

La CNIL confirme que l’application traitera des données personnelles. En effet, bien que les données soient pseudonymisées, elles sont rattachées à un numéro de téléphone portable. La mise en œuvre de l’application doit donc se faire conformément à la loi Informatique et Libertés de 1978 et au RGPD.

La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) sous réserve que certaines conditions soient respectées.

  • Un usage volontaire de l’application

Si l’usage de l’application est volontaire (installation, utilisation, désinstallation de l’application), la CNIL précise que cela implique qu’il n’y ait aucune conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Les utilisateurs de l’application ne devraient pas être non plus contraints de sortir en possession de leurs équipements mobiles et les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.

 

  • La base légale du traitement

l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national : une loi ou une ordonnance devrait être prise à cet égard pour encadrer la mise en œuvre de l’application.

 

  • Une application conforme au principe de « privacy by design »

La CNIL reconnaît que l’application respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

 

  • Les recommandations de la CNIL

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL souligne que l’efficacité de l’application dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public (une information claire devra être apportée aux utilisateurs) et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

La CNIL recommande également qu’une analyse d’impact soit menée avant toute mise en œuvre.

Enfin, la Commission demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Pour prendre connaissance de la Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » dans son intégralité : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

Contrôles de la CNIL en 2020, quelle stratégie ?

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Comme tous les ans à l’approche de Noël, la CNIL rappelle quelques conseils sur les jouets connectés et en particulier leur sécurisation.

La CNIL recommande notamment de:
– vérifier que le jouet ne permet pas à n’importe qui de s’y connecter (vérifier que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe) ;
– changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.) ;
– sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes ;
– vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet ;
– en dire le moins possible au moment de l’inscription : par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge ;
– créer une adresse mail spécifique pour les jouets utilisés par l’enfant ;
– utiliser au maximum des pseudonymes au lieu du nom/prénom.

L’intégralité des conseils de la CNIL est à retrouver ci-dessous:
https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

La CNIL expose avoir, dans le cadre de son contrôle annuel 2018, procédé à plusieurs vérifications auprès d’agences immobilières pour vérifier les conditions de mises en œuvre des traitements relatifs à la collecte et la conservation des pièces justificatives demandées pour l’accès au logement locatif privé.

Si la nature des documents collectés par les agences immobilières est relativement conforme à la liste du Décret de 2015, la CNIL a constaté des manquements récurrents relatifs à :

  • l’information des personnes concernées quant à leurs droits d’accès et de rectification notamment. Cette information doit se faire au moment de la collecte des données personnelles et peut par exemple s’effectuer par le biais de mentions sur les formulaires d’information ;
  • la durée de conservation des données et notamment des pièces justificatives transmises lors du dépôt d’un dossier de location. Celles-ci doivent être détruites dès lors qu’elles ne sont plus utiles pour la décision d’attribution du logement ou être archivées avec un accès restreint afin de se conformer à ses obligations légales ;
  • aux mesures de sécurité physiques et logiques mises en place compte tenu notamment de la nature des données transmises qui révèlent la situation personnelle et financière des personnes.

Pour mémoire, la CNIL a prononcé le 28 mai 2019 une sanction financière de 400.000 euros à l’encontre de la société SERGIC spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La CNIL avait notamment constaté que le site que la société édite et qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier était insuffisamment sécurisé.

La décision de sanction est disponible ici :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

La CNIL a prononcé, le 13 juin 2019, une sanction financière de 20.000 € à l’encontre d’une société de traduction (employant 9 salariés) qui filmait les postes de travail de ses salariés en continu.

Aucune information satisfaisante n’avait été délivrée aux salariés. Par ailleurs, les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

Dans son communiqué, la CNIL prend soin de préciser que la sanction et sa publication sont motivées par le fait que la société de traduction, malgré une mise en demeure, n’a pas pris les mesures afin de se mettre en conformité.

https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

La CNIL communique chaque année sur son programme de contrôles. La CNIL, qui s’était jusqu’à présent abstenue de sanctionner le non-respect des obligations nouvelles du RGPD (adopté en Avril 2016 et entré en application en Mai 2018), indique que la période de transition (et partant de souplesse dont elle a fait preuve) s’achèvera en 2019.

Ainsi, la CNIL axera en 2019 ses contrôles sur les thématiques issues de l’entrée en application du RGPD et, en particulier :

  • le respect des droits des personnes. La CNIL s’assurera que les nouveaux droits tels que la portabilité des données sont mis en œuvre mais également qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes (pour mémoire dans un délai maximum d’un mois suivant la réception de la demande). ;
  • le traitement des données des mineurs. S’agissant d’un public vulnérable, la CNIL attachera une attention particulière aux traitements de données de mineurs. Pour rappel, les traitements de données relatives à des mineurs de moins de 15 ans nécessitent d’obtenir le consentement de leur représentant légal ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants. La CNIL s’attachera à vérifier que les contrats de sous-traitance sont effectivement mis en œuvre entre responsables de traitement et sous-traitants.

De manière plus générale, la CNIL vérifiera le respect des nouvelles obligations et nouveaux droits issus du RGPD (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Le Conseil d’Etat a rendu, le 18 mars 2019, une décision intéressante sur la notion de motif légitime en matière de droit d’opposition à l’utilisation des données à caractère personnel prévu à l’article 38 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».

Il convient de préciser que cette décision a été rendue sur le fondement de la règlementation applicable avant l’entrée en vigueur du Règlement européen pour la protection des données n°2016/679 du 27 avril 2016 dit « RGPD ».

En effet, l’article 38 de la loi Informatique et libertés prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 21 du RGPD prévoit quant à lui que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ».

A noter que la loi Informatique et Libertés sera modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018 qui devrait entrer en vigueur au plus tard le 1er juin 2019. Le droit d’opposition visé à l’article 56 de la loi Informatique et Libertés modifiée (anciennement l’article 38) renverra directement à l’article 21 du RGPD : « Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016 ».

En l’espèce, Madame B. a souhaité s’opposer à l’enregistrement et à la conservation des données personnelles relatives à ses enfants, scolarisés dans une école primaire publique, dans la « base élèves premier degré » (BE1D) et la « base nationale élève » (BNIE).

Face au refus de l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale, de faire droit à sa demande ainsi qu’au rejet du recours hiérarchique par la suite, Madame B. a introduit une action auprès des juridictions administratives compétentes en la matière.

Le Conseil d’Etat précise ainsi que le droit pour toute personne physique de s’opposer pour des motifs légitimes à ce que des données personnelles la concernant fassent l’objet d’un traitement « est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière ».

Le Conseil d’Etat confirme la décision de la Cour administrative d’appel qui a jugé que  la requérante ne justifiait pas de motifs légitimes de nature à justifier cette opposition, cette dernière se bornant à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants.

Le Conseil d’Etat rappelle ainsi que de simples considérations générales ne suffisent pas à s’opposer au traitement de ses données personnelles et qu’il convient de justifier de motifs propres pour s’opposer à la collecte et au traitement de ses données personnelles.

Cette décision va dans le sens de la loi Informatique et Libertés telle que modifiée afin d’intégrer les dispositions du RGPD : le droit d’opposition doit être justifié pour des raisons tenant à la situation particulière de la personne concernée par le traitement des données personnelles.

Décision du Conseil d’Etat du 18 mars 2019, n°406313

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

Le 19 décembre 2018, la Chambre sociale de la Cour de cassation a rendu un arrêt intéressant sur la licéité des systèmes de géolocalisation des salariés. L’arrêt a été publié au Bulletin.

La société Médiapost (une filiale du groupe La Poste qui distribue des publicités ciblées en boîtes aux lettres) avait mis en place un système permettant d’enregistrer la localisation des distributeurs de courriers toutes les 10 secondes au moyen d’un boîtier mobile qu’ils portaient lors de leur tournée et qu’ils activaient eux-mêmes. La Fédération Sud PPT considérant que ce système de contrôle était illicite a assigné la société Médiapost.

Dans l’arrêt du 19 décembre 2018, la Cour de cassation casse l’arrêt de la Cour d’appel de Lyon qui s’est prononcée « sans caractériser que le système de géolocalisation mis en œuvre par l’employeur était le seul moyen permettant d’assurer le contrôle de la durée du travail de ses salariés ».

La Cour de cassation rappelle que conformément à l’article L.1121-1 du Code du travail, « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », et précise que :

(i) l’utilisation d’un tel système de géolocalisation pour contrôler la durée du travail n’est licite que si ce contrôle ne peut être opéré par un autre moyen, fût-il moins efficace que la géolocalisation ;

(ii) la géolocalisation n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Cet arrêt de la Cour de cassation confirme l’attention portée par les juridictions sur les systèmes de géolocalisation des salariés.

Il convient en pratique, avant toute mise en place, de considérer les alternatives aux systèmes de géolocalisation pour répondre aux finalités envisagées par ces derniers. À défaut, un tel système serait susceptible d’être considéré comme portant atteinte de manière disproportionnée aux libertés individuelles des salariés.

https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000037851013&fastReqId=817130270&fastPos=1

Par Yvan Jamois et Maëliss Vincent-Moreau

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Le mouvement d’open data initié par la Loi pour une République numérique du 7 octobre 2016 se poursuit avec la publication, le 12 décembre 2018 au Journal Officiel, du Décret n°2018-1117 du 10 décembre 2018 relatif aux catégories de documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation.

Le décret a été pris afin de parfaire l’application de l’article L. 312-1-2 du code des relations entre le public et l’administration, dans sa version résultant de l’article 6 de la Loi pour une République numérique.

Parmi les documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation, il y a, notamment, :

  • les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique ;
  • le répertoire national des associations et le répertoire des entreprises et de leurs établissements ;
  • les répertoires des professions réglementées et des activités professionnelles soumises à la règlementation: notaire, avocat, huissier de justice, architecte;
  • les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  • les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice de la vie politique, notamment le répertoire des élus.

Le décret est disponible dans son intégralité ici : https://www.legifrance.gouv.fr/eli/decret/2018/12/10/2018-1117/jo/texte