RGPD – D Day!!!

RGPD – D Day!!!

Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1

Le RGPD en 10 questions

Le RGPD en 10 questions

Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

D’application immédiate (il n’est pas nécessaire que le législateur français adopte une loi pour le transposer), le RGPD pose un nouveau cadre de règles et vient en particulier renforcer les droits des personnes concernées par des traitements de données.

200 jours avant son entrée en application, il est temps de démystifier le RGPD et de faire le point sur les changements que le Règlement opère dans le traitement des données personnelles.

1- Le RGPD : Révolution ou continuité ?

Non, le RGPD n’est pas une révolution ! Il reprend les principes et préceptes existants tout en renforçant les droits des personnes physiques (information et consentement) et en imposant aux responsables de traitement de prendre en compte les aspects de protection des données personnelles dès la conception des produits et services (« privacy by design »). La sévérité des sanctions en cas de non-conformité (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) est, en revanche, une vraie révolution.

2 - A qui s’applique le RGPD ?

Peu de chances d’ « échapper » au RGPD, les responsables de traitement sont concernés par le Règlement dès lors que :
- Des données à caractère personnel font l’objet d’un traitement sur le territoire de l’Union européenne ;
- Le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union européenne ;
- Les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

3 - Qu’est-ce que le concept d’ « accountability » ?

L’une des notions phare du RGPD est le concept d' « accountability » selon lequel un responsable de traitement doit être en mesure d’attester et donc de démontrer à son autorité de contrôle qu’il se conforme à la réglementation applicable en matière de protection des données personnelles. En pratique, le régime des déclarations préalables à toute mise en œuvre d’un traitement auprès de la CNIL devrait disparaître pour être remplacé par un registre de traitements que l’entreprise tiendra à disposition de la CNIL en cas de contrôle. Cela implique que l’ensemble des traitements soient listés (et les flux de données cartographiés) et que le registre soit mis à jour régulièrement.

4 - Quelles sont les modifications en termes d’information et de consentement des personnes ?

La loi du 6 janvier 1978 dite « Loi Informatique et libertés » imposait déjà au responsable de traitement d’informer la personne physique de ses droits et de recueillir son consentement préalablement au traitement des données.
Le RGPD renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Autrement dit, le consentement ne peut se déduire d’une case pré-cochée ou d’une absence d’action. L’utilisateur peut le révoquer à tout moment.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le RGPD dispose que le responsable de traitement doit s'efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.
Il convient donc de mettre en place et de documenter les mesures techniques et organisationnelles appropriées afin de prouver que les principes mentionnés ci-dessus ont été pris en compte lors de la collecte des données personnelles.

5 - En quoi consiste une analyse d’impact ?

Recenser les traitements permet d’identifier les traitements comportant un risque élevé pour les droits et libertés des personnes compte tenu de leur nature, de leur portée, du contexte et des finalités du traitement. Dans une telle hypothèse, le responsable de traitement devra conduire une analyse d’impact sur la vie privée (« privacy impact assessment » ou « PIA ») afin d’identifier les risques probables d’atteinte aux droits des personnes, leur gravité, et les mesures adoptées ou devant être adoptées pour sécuriser le traitement.

6 - Est-ce obligatoire de nommer un Data Protection Officer ?

Le Data Protection Officer (« DPO »), ou Délégué à la Protection des Données, vise à remplacer l’actuel Correspondant Informatique et Libertés (« CIL »).
La désignation d’un DPO par le responsable de traitement sera obligatoire dans un certain nombre d’hypothèses :
- si le responsable de traitement appartient au secteur public ;
- Si son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Si son activité principale l’amène à traiter à grande échelle des données particulières ou relatives à des condamnations pénales ou à des infractions.
Dans les autres cas, la désignation du DPO ne sera pas obligatoire, mais toutefois fortement recommandée pour s’assurer de la conformité au RGPD.

7 - Le droit à la portabilité des données, c’est nouveau ?

Le RGPD consacre le droit à la portabilité des données, et permet ainsi aux personnes concernées par les traitements de récupérer l’ensemble de leurs données fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers (par exemple, le transfert d’une playlist Spotify vers Deezer)
Ce droit a déjà été introduit en droit français par la loi pour une République numérique du 7 octobre 2016 aux articles L.224-42-1 à L.224-42-4 du Code de la consommation. Toutefois, dans l’attente d’un décret d’application, les modalités d’application de ce texte restent à préciser.

8 - Quel est le périmètre de l’obligation de notifier une faille de sécurité ?

Jusqu’ici applicable aux seuls fournisseurs de services de communications électroniques, le Règlement généralise l'obligation de notifier les violations de données à caractère personnel à la CNIL. Ainsi, toute violation de sécurité entrainant la destruction, la perte, l'altération, la divulgation des données à caractère personnel traitées devra être notifiée auprès de la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. En cas de sous-traitance du traitement des données, il convient donc d’imposer au prestataire une obligation de notification similaire au responsable de traitement.
En outre, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

9 - Quel est l’impact du RGPD sur les sous-traitants ?

Le RGPD renforce la responsabilité du sous-traitant dans le traitement des données du responsable de traitement. Ainsi, le sous-traitant devra notamment s’engager par écrit à n’agir que sur instructions documentées du client, informer régulièrement son client, garantir la confidentialité et la sécurité des données, justifier des mesures organisationnelles et techniques prises.
Si le sous-traitant manque à ses obligations ou les outrepasse, il sera susceptible d’engager sa propre responsabilité (ou conjointement avec le responsable de traitement) et d’être condamné au versement de dommages et intérêts puisque le Règlement pose le principe selon lequel toute victime d'une non-conformité « a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Au regard de ce qui précède, il est important de prêter une attention particulière à la rédaction des clauses « données personnelles » et « responsabilité » dans les contrats de sous-traitance.

10 - Comment se mettre en conformité ?

Faites le point sur les traitements de données personnelles de votre société :
quelles données sont collectées, comment les consentements sont-ils recueillis,
quelles informations sont communiquées aux personnes concernées,
comment sont traitées ces données (utilisation, hébergement, transfert à l’étranger, archivage, suppression…),
Interrogez-vous sur l’obligation, ou le cas échéant l’opportunité, de nommer un Data Protection Officer. Si un CIL a déjà été nommé au sein de la société, définissez ses futures missions en tant que DPO,
Revoyez les processus internes pour vous assurer de leur conformité au RGPD,
Listez vos contrats sous-traitants et revoyez-les afin de vous assurer de leur conformité au RGPD.

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER.

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf

Externalisation de traitements de données à l’étranger: pas de transfert de données hors UE sans l’autorisation préalable de la CNIL

Externalisation de traitements de données à l’étranger: pas de transfert de données hors UE sans l’autorisation préalable de la CNIL

Le responsable d’un traitement de données à caractère personnel peut transférer les données vers un Etat n’appartenant pas à la Communauté européenne à deux conditions : soit « cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données peuvent faire l’objet » (art. 68 de la loi du 6 janvier 1978), soit, « par décision de la CNIL […] lorsque le traitement garantit un niveau de protection suffisant de la vie privée » (art. 69 de la loi du 6 janvier 1978).

Dans une délibération du 21 décembre 2015, la CNIL a rappelé que, « le principe d’interdiction de transférer des données vers un Etat n’appartenant pas à l’Union européenne et n’assurant pas un niveau de protection adéquat de la vie privée, ne peut être levé qu’après une décision de la CNIL ».

Dans cette affaire, la CNIL avait, 18 mois après la clôture d’une plainte, mené un contrôle sur place dans les locaux d’une société ayant pour activité la constitution d’une base de données de séniors. La CNIL avait alors constaté que la société sous-traitait, sans contrat, à un prestataire situé à l’Ile Maurice la mission de contacter par téléphone, en son nom, des personnes choisies dans l’annuaire afin de collecter leurs données à caractère personnel.

La CNIL qualifie une telle pratique de transfert de données hors de l’UE vers un pays n’assurant pas un niveau de protection suffisant de la vie privée, et relève que le responsable du traitement n’a ni conclu de contrat avec ce prestataire, ni sollicité l’autorisation préalable de la CNIL avant la mise en œuvre du traitement.

La CNIL rappelle qu’elle apprécie si un traitement garantit un niveau de protection suffisant notamment au regard des clauses insérées dans le contrat avec le sous-traitant. A cet égard, il est important de rappeler, d’une part, que la Commission Européenne a proposé des clauses contractuelles type le 5 février 2010 qui constituent une base de négociation utile avec tout sous-traitant et, d’autre part, que la CNIL a prononcé le 5 décembre 2015 une sanction de 50.000€ à l’encontre de la société Optical Center considérant que cette dernière n’avait pas suffisamment assuré la sécurité et la confidentialité des données de ses clients, notamment dans le cadre de ses relations avec ses prestataires cf notre article sur le sujet http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ).

Dans l’affaire « Profils Seniors », la formation restreinte de la CNIL a, sur le fondement de nombreux manquements à la loi Informatique et Libertés et notamment les articles 67 et 68 de la loi Informatique et libertés, prononcé un avertissement public à l’encontre de la société.

(Délibération de la formation restreinte de la CNIL n°2015-454 du 21 décembre 2015 prononçant un avertissement public à l’encontre de la société PROFILS SENIORS http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-454_avertissement_PROFILS-SENIORS.pdf)