Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Le 31 décembre 2021, la CNIL a prononcé une sanction à l’encontre de deux sociétés du Groupe GOOGLE (GOOGLE LLC et GOOGLE IRELAND LIMITED) et la société FACEBOOK IRELAND LIMITED en raison d’un manquement à l’article 82 de la loi informatique et libertés du 6 janvier 1978 telle que modifiée.

La CNIL indique avoir reçu plusieurs plaintes concernant les modalités de refus d’utilisation des cookies sur les sites internet suivants :

  • facebook.com ;
  • google.fr ;
  • youtube.com.

A la suite de contrôles, la CNIL a constaté que les sites internet précités proposaient un bouton d’acceptation des cookies mais aucune solution équivalente afin de permettre aux internautes de refuser les cookies.

Plusieurs clics des internautes étaient nécessaires pour refuser la totalité des cookies tandis qu’un seul clic sur le bouton prévu à cet effet (« j’accepte » ou « Accepter les cookies ») suffisait pour tous les accepter.

La CNIL a considéré que les internautes ne pouvaient refuser l’utilisation des cookies aussi simplement qu’ils les acceptaient. Un processus complexe de refus des cookies revient à décourager les utilisateurs et les incite à accepter les cookies par facilité. Or, une telle pratique porte atteinte à la liberté du consentement des internautes et constitue une violation de l’article 82 de la loi Informatique et Libertés.

En conséquence, la CNIL a prononcé les sanctions financières suivantes :

  • 150 millions d’euros à l’encontre de GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED);
  • 60 millions d’euros à l’encontre de la société FACEBOOK IRELAND LIMITED.

La CNIL a également enjoint les sociétés de se mettre en conformité dans un délai de 3 mois et de mettre en place une solution permettant aux internautes situés en France de refuser les cookies aussi simplement que de les accepter. A défaut, les sociétés devront payer une astreinte de 100.000 euros par jour de retard.

Délibération SAN-2021-024 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Délibération SAN-2021-023 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Cookies et traceurs CNIL

Cookies et traceurs CNIL

La CNIL a récemment publié de nouvelles recommandations et lignes directrices sur les cookies et traceurs (délibérations n°2020-091 et 2020-092 du 17 septembre 2020).
Les acteurs disposent d’un délai de 6 mois pour se mettre en conformité avec les nouvelles règles applicables, soit au plus tard à fin mars 2021.

Cookies : comment informer et quelle information communiquer aux internautes ?

Les internautes doivent clairement être informés, d’une part, des finalités des cookies et traceurs avant de consentir ou refuser ces derniers et, d’autre part, des conséquences qui s’attachent à une acceptation ou un refus de ces cookies et traceurs.
Par ailleurs, les internautes doivent être informés de l’identité de tous les acteurs utilisant des cookies et traceurs soumis au consentement. Cela implique d’indiquer précisément les sociétés tierces et partenaires utilisant des cookies et traceurs via le site internet.
Enfin, la CNIL précise qu’un certain nombre de cookies et traceurs nécessaires sont exemptés de consentement (choix de la langue, authentification, …).

Comment se matérialise le consentement et le refus des cookies ?

Le principe reste que les internautes doivent consentir au dépôt des cookies sur leur terminal.
Le consentement doit être matérialisé par un acte positif clair (par exemple, en cliquant sur un bouton « j’accepte »).
Ainsi, la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies.
Ne constitue pas non plus un consentement valide une case pré-cochée sur le site internet car cela implique a contrario que l’utilisateur décoche la case pour refuser de donner son consentement. La CJUE avait précisé dans cette même décision que l’obligation de requérir le consentement de l’utilisateur au dépôt des cookies s’applique que les cookies traitent ou non des données personnelles (CJUE, 1er octobre 2019, C‑673/17).
Les internautes doivent également pouvoir refuser les cookies lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service demandé par les utilisateurs. Dans ses lignes directrices, la CNIL précise que refuser les cookies et traceurs doit être aussi aisé que de les accepter.
L’autorité de contrôle recommande ainsi un parallélisme des formes. Par exemple, l’interface de recueil du consentement pourrait comprendre non seulement un bouton « tout accepter » mais également un bouton « tout refuser ».
Le refus des cookies doit pouvoir être exprimé à tout moment.

Comment paramétrer les cookies et traceurs ?

Les internautes doivent consentir ou refuser les cookies et traceurs en fonction de leur finalité, et ce à tout moment.
En début de navigation, un bandeau ou un pop-up permettant de paramétrer les cookies et traceurs doit apparaître sur le site internet.
A tout moment, les internautes doivent pouvoir modifier ces choix. Il est en conséquence recommandé de mettre à disposition sur le site les moyens de gérer facilement ses préférences relatives aux cookies. Cela peut prendre la forme d’un lien « Gérer mes cookies / Modifier mes préférences cookies » ou d’un module de paramétrage placés dans une zone visible du site internet (par exemple en bas à gauche de l’écran) ou encore d’une icône « cookie » visuellement explicite.

Quelle est la durée de conservation des choix de l’utilisateur ?

La CNIL recommande de conserver les choix exprimés en matière de cookies par l’internaute, tant pour son consentement que pour son refus. La durée de conservation des choix doit être appréciée selon le contexte et la nature du site internet. Cependant, la CNIL indique qu’une durée de 6 mois (contre 13 mois auparavant) constitue une bonne pratique. Si le consentement avait été sauvegardé, cela implique d’obtenir à nouveau le consentement des utilisateurs au terme de cette période.

Quelle est la politique de contrôle de la CNIL ? Quelles sont les sanctions en cas de non-respect des lignes directrices ?

Jusque fin mars 2021, la CNIL procèdera à des actions de contrôle de respect des principes précédemment exposés dans sa recommandation de 2013. C’est dans ce cadre qu’elle a récemment sanctionné les sociétés Carrefour, Google et Amazon (cf notre encadré).
A compter d’avril 2021, la CNIL s’assurera de l’application des nouvelles lignes directrices par les responsables de traitement.
En cas de non-respect des lignes directrices, les sanctions qui pourront être prononcées sont celles fixées dans le RGPD et la loi Informatique et libertés modifiée, c’est-à-dire, notamment une sanction financière pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu..

Le Cabinet MVM Avocats est à votre disposition pour vous accompagner dans la mise en conformité de votre site internet aux nouvelles lignes directrices en matière de cookies et de traceurs.

Dernières sanctions en matière de non-respect des recommandations relatives aux cookies :

CARREFOUR France ET CARREFOUR BANQUE : La CNIL a prononcé une sanction de 2 250 000 euros et de 800 000 euros à l’encontre des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE en raison, notamment, d’un manquement à la règlementation relative aux cookies. Plusieurs cookies (dont des cookies publicitaires) étaient automatiquement déposés, avant toute action de sa part, sur le terminal de l’utilisateur qui se connectait aux sites internet des sociétés. Le consentement de l’utilisateur aurait dû être recueilli avant le dépôt (Délibérations n° SAN-2020-008 et n° SAN-2020-009 du 18 novembre 2020).

GOOGLE LLC et GOOGLE IRELAND LTD : La CNIL a prononcé une sanction d’un montant total de 100 millions d’euros à l’encontre des sociétés GOOGLE , en raison (i) du dépôt de cookies publicitaires sur les terminaux des utilisateurs du moteur de recherche sans consentement préalable ni information satisfaisante, et (ii) d’un mécanisme d’opposition défaillant : malgré la modification de ses paramètres par l’utilisateur, un cookie publicitaire demeurait stocké sur son ordinateur (Délibération n°SAN-2020-012 du 7 décembre 2020).

AMAZON EUROPE CORE : La CNIL a prononcé une sanction de 35 millions d’euros à l’encontre de la société AMAZON pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs à partir du site amazon.fr sans consentement préalable ni information satisfaisante (Délibération n°SAN-2020-013 du 7 décembre 2020).

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Afin de lutter contre la pandémie de COVID-19 et encadrer au mieux le déconfinement, le Gouvernement français prévoit de déployer, sur la base du volontariat, l’application mobile « StopCovid ».

Cette application de « contact tracing » a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus.

Saisis par le Secrétaire d’Etat chargé du numérique, le 20 avril 2020, d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid », les membres du collège de la CNIL se sont prononcés le 24 avril 2020 sur la mise en place de cette application.

Tout en reconnaissant la situation sanitaire exceptionnelle à laquelle la France est confrontée, la CNIL rappelle qu’une application de portée nationale ne doit pas porter atteinte aux principes constitutionnels que sont la protection de la vie privée et la liberté de mouvement et « ne doit être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé ».

La CNIL alerte sur le fait que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être réservé à certaines situations exceptionnelles ».

La CNIL confirme que l’application traitera des données personnelles. En effet, bien que les données soient pseudonymisées, elles sont rattachées à un numéro de téléphone portable. La mise en œuvre de l’application doit donc se faire conformément à la loi Informatique et Libertés de 1978 et au RGPD.

La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) sous réserve que certaines conditions soient respectées.

  • Un usage volontaire de l’application

Si l’usage de l’application est volontaire (installation, utilisation, désinstallation de l’application), la CNIL précise que cela implique qu’il n’y ait aucune conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Les utilisateurs de l’application ne devraient pas être non plus contraints de sortir en possession de leurs équipements mobiles et les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.

 

  • La base légale du traitement

l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national : une loi ou une ordonnance devrait être prise à cet égard pour encadrer la mise en œuvre de l’application.

 

  • Une application conforme au principe de « privacy by design »

La CNIL reconnaît que l’application respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

 

  • Les recommandations de la CNIL

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL souligne que l’efficacité de l’application dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public (une information claire devra être apportée aux utilisateurs) et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

La CNIL recommande également qu’une analyse d’impact soit menée avant toute mise en œuvre.

Enfin, la Commission demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Pour prendre connaissance de la Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » dans son intégralité : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

Contrôles de la CNIL en 2020, quelle stratégie ?

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

La CNIL communique chaque année sur son programme de contrôles. La CNIL, qui s’était jusqu’à présent abstenue de sanctionner le non-respect des obligations nouvelles du RGPD (adopté en Avril 2016 et entré en application en Mai 2018), indique que la période de transition (et partant de souplesse dont elle a fait preuve) s’achèvera en 2019.

Ainsi, la CNIL axera en 2019 ses contrôles sur les thématiques issues de l’entrée en application du RGPD et, en particulier :

  • le respect des droits des personnes. La CNIL s’assurera que les nouveaux droits tels que la portabilité des données sont mis en œuvre mais également qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes (pour mémoire dans un délai maximum d’un mois suivant la réception de la demande). ;
  • le traitement des données des mineurs. S’agissant d’un public vulnérable, la CNIL attachera une attention particulière aux traitements de données de mineurs. Pour rappel, les traitements de données relatives à des mineurs de moins de 15 ans nécessitent d’obtenir le consentement de leur représentant légal ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants. La CNIL s’attachera à vérifier que les contrats de sous-traitance sont effectivement mis en œuvre entre responsables de traitement et sous-traitants.

De manière plus générale, la CNIL vérifiera le respect des nouvelles obligations et nouveaux droits issus du RGPD (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Le Conseil d’Etat a rendu, le 18 mars 2019, une décision intéressante sur la notion de motif légitime en matière de droit d’opposition à l’utilisation des données à caractère personnel prévu à l’article 38 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».

Il convient de préciser que cette décision a été rendue sur le fondement de la règlementation applicable avant l’entrée en vigueur du Règlement européen pour la protection des données n°2016/679 du 27 avril 2016 dit « RGPD ».

En effet, l’article 38 de la loi Informatique et libertés prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 21 du RGPD prévoit quant à lui que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ».

A noter que la loi Informatique et Libertés sera modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018 qui devrait entrer en vigueur au plus tard le 1er juin 2019. Le droit d’opposition visé à l’article 56 de la loi Informatique et Libertés modifiée (anciennement l’article 38) renverra directement à l’article 21 du RGPD : « Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016 ».

En l’espèce, Madame B. a souhaité s’opposer à l’enregistrement et à la conservation des données personnelles relatives à ses enfants, scolarisés dans une école primaire publique, dans la « base élèves premier degré » (BE1D) et la « base nationale élève » (BNIE).

Face au refus de l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale, de faire droit à sa demande ainsi qu’au rejet du recours hiérarchique par la suite, Madame B. a introduit une action auprès des juridictions administratives compétentes en la matière.

Le Conseil d’Etat précise ainsi que le droit pour toute personne physique de s’opposer pour des motifs légitimes à ce que des données personnelles la concernant fassent l’objet d’un traitement « est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière ».

Le Conseil d’Etat confirme la décision de la Cour administrative d’appel qui a jugé que  la requérante ne justifiait pas de motifs légitimes de nature à justifier cette opposition, cette dernière se bornant à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants.

Le Conseil d’Etat rappelle ainsi que de simples considérations générales ne suffisent pas à s’opposer au traitement de ses données personnelles et qu’il convient de justifier de motifs propres pour s’opposer à la collecte et au traitement de ses données personnelles.

Cette décision va dans le sens de la loi Informatique et Libertés telle que modifiée afin d’intégrer les dispositions du RGPD : le droit d’opposition doit être justifié pour des raisons tenant à la situation particulière de la personne concernée par le traitement des données personnelles.

Décision du Conseil d’Etat du 18 mars 2019, n°406313

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

Le 19 décembre 2018, la Chambre sociale de la Cour de cassation a rendu un arrêt intéressant sur la licéité des systèmes de géolocalisation des salariés. L’arrêt a été publié au Bulletin.

La société Médiapost (une filiale du groupe La Poste qui distribue des publicités ciblées en boîtes aux lettres) avait mis en place un système permettant d’enregistrer la localisation des distributeurs de courriers toutes les 10 secondes au moyen d’un boîtier mobile qu’ils portaient lors de leur tournée et qu’ils activaient eux-mêmes. La Fédération Sud PPT considérant que ce système de contrôle était illicite a assigné la société Médiapost.

Dans l’arrêt du 19 décembre 2018, la Cour de cassation casse l’arrêt de la Cour d’appel de Lyon qui s’est prononcée « sans caractériser que le système de géolocalisation mis en œuvre par l’employeur était le seul moyen permettant d’assurer le contrôle de la durée du travail de ses salariés ».

La Cour de cassation rappelle que conformément à l’article L.1121-1 du Code du travail, « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », et précise que :

(i) l’utilisation d’un tel système de géolocalisation pour contrôler la durée du travail n’est licite que si ce contrôle ne peut être opéré par un autre moyen, fût-il moins efficace que la géolocalisation ;

(ii) la géolocalisation n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Cet arrêt de la Cour de cassation confirme l’attention portée par les juridictions sur les systèmes de géolocalisation des salariés.

Il convient en pratique, avant toute mise en place, de considérer les alternatives aux systèmes de géolocalisation pour répondre aux finalités envisagées par ces derniers. À défaut, un tel système serait susceptible d’être considéré comme portant atteinte de manière disproportionnée aux libertés individuelles des salariés.

https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000037851013&fastReqId=817130270&fastPos=1

Par Yvan Jamois et Maëliss Vincent-Moreau

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Le mouvement d’open data initié par la Loi pour une République numérique du 7 octobre 2016 se poursuit avec la publication, le 12 décembre 2018 au Journal Officiel, du Décret n°2018-1117 du 10 décembre 2018 relatif aux catégories de documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation.

Le décret a été pris afin de parfaire l’application de l’article L. 312-1-2 du code des relations entre le public et l’administration, dans sa version résultant de l’article 6 de la Loi pour une République numérique.

Parmi les documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation, il y a, notamment, :

  • les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique ;
  • le répertoire national des associations et le répertoire des entreprises et de leurs établissements ;
  • les répertoires des professions réglementées et des activités professionnelles soumises à la règlementation: notaire, avocat, huissier de justice, architecte;
  • les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  • les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice de la vie politique, notamment le répertoire des élus.

Le décret est disponible dans son intégralité ici : https://www.legifrance.gouv.fr/eli/decret/2018/12/10/2018-1117/jo/texte

RGPD – D Day!!!

RGPD – D Day!!!

[:fr]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:en]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:]