Étiquette : protection des données

Contrôles de la CNIL en 2020, quelle stratégie ?
By Yvan Jamois

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

Les objets connectés dans le viseur de la CNIL pour les prochains « Sweep Days » (Mai 2016)
By Maëliss Vincent-Moreau

Les objets connectés dans le viseur de la CNIL pour les prochains « Sweep Days » (Mai 2016)

[:fr]

Le 12 avril 2016, la CNIL a annoncé que, dans le cadre des « Sweep Days » du mois de Mai 2016, ses contrôles porteraient sur la conformité des objets connectés à la réglementation de protection des données à caractère personnel.

Ainsi, la CNIL, tout comme ses homologues internationaux, effectuera des tests d’objets connectés en matière de santé, bien-être (« quantified-self ») et habitat (caméras connectées notamment) afin d’évaluer la qualité de l’information délivrée, le niveau de sécurité des flux de données et le degré de contrôle de l’utilisateur sur l’exploitation de ses données.

Dans le cas où ces tests révèleraient des non-conformités, la CNIL pourra procéder à des audits plus formels, lesquels sont susceptibles de déboucher sur des mises en demeure et des sanctions.

Les résultats de cette opération sont attendus à l’automne 2016.

https://www.cnil.fr/fr/operation-internet-sweep-day-une-premiere-mondiale-visant-apprecier-le-niveau-dinformation-des-0

 

[:en]

Le 12 avril 2016, la CNIL a annoncé que, dans le cadre des « Sweep Days » du mois de Mai 2016, ses contrôles porteraient sur la conformité des objets connectés à la réglementation de protection des données à caractère personnel.

Ainsi, la CNIL, tout comme ses homologues internationaux, effectuera des tests d’objets connectés en matière de santé, bien-être (« quantified-self ») et habitat (caméras connectées notamment) afin d’évaluer la qualité de l’information délivrée, le niveau de sécurité des flux de données et le degré de contrôle de l’utilisateur sur l’exploitation de ses données.

Dans le cas où ces tests révèleraient des non-conformités, la CNIL pourra procéder à des audits plus formels, lesquels sont susceptibles de déboucher sur des mises en demeure et des sanctions.

Les résultats de cette opération sont attendus à l’automne 2016.

https://www.cnil.fr/fr/operation-internet-sweep-day-une-premiere-mondiale-visant-apprecier-le-niveau-dinformation-des-0

 [:]

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité
By Maëliss Vincent-Moreau

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

[:fr]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:en]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:]

Contrats commerciaux, e-commerce
By Maëliss Vincent-Moreau

Contrats commerciaux, e-commerce

Le cabinet vous assiste dans la structuration contractuelle de votre activité, notamment de e-commerce :

  • Assistance dans la conclusion de tous vos accords commerciaux : contrats de services, contrats cadres, contrats fournisseurs, franchise, distribution, partenariats, sponsoring, mécénat, etc ;
  • Rédaction de conditions générales de vente, conditions générales d’utilisation, conditions générales d’achat ;
  • Validation et mise en conformité de vos conditions contractuelles avec le droit de la consommation, le droit commercial, la protection des données à caractère personnel ;
  • Assistance pour valider et tenir à jour de tout changement votre pratique du e-commerce ;
  • Revue et validation de vos jeux concours, loteries, et communications commerciales.
Données à caractère personnel
By Maëliss Vincent-Moreau

Données à caractère personnel

Le Cabinet vous conseille en matière de traitements des données à caractère personnel (notamment s’agissant de transferts internationaux) dans le cadre de toute pratique du e-commerce, e-marketing, e-santé et objets connectés.

Le Cabinet répond à vos besoins d’audit informatique et libertés et vous accompagne dans vos démarches de mise en conformité avec la réglementation applicable, notamment le Règlement européen 2016/679 dit « RGPD » ou « GDPR ».

Le Cabinet vous assiste dans la rédaction et la négociation de vos contrats avec vos partenaires afin de vous conformer à vos obligations de responsable de traitement en matière de sécurité et de confidentialité des données de vos clients.