AI Act : le gouvernement propose une gouvernance répartie sur les autorités existantes

 

 Ce qu’il faut retenir

Le gouvernement vient de proposer son schéma de gouvernance pour l’application de l’AI Act. Plutôt que de créer une nouvelle autorité dédiée, plusieurs autorités existantes seront en charge de la supervision de l’application du règlement, sur la base de leurs domaines de compétences respectifs.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-ai-act-le-gouvernement-propose-une-gouvernance-repartie-sur-les-autorites-existantes

La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Bilan des sanctions prononcées par la CNIL en 2024

 

Ce qu’il faut retenir

Dans son bilan de l’année 2024, la CNIL souligne la forte augmentation des sanctions et autres mesures correctrices prononcées pour non-conformité au RGPD.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-bilan-des-sanctions-prononcees-par-la-cnil-en-2024

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Non-désignation d’un DPO : une commune sanctionnée par la CNIL

 

 

Ce qu’il faut retenir

Le RGPD s’applique aux organismes publics, comme aux organismes privés. Les collectivités locales par exemple, ont notamment l’obligation de désigner un DPO. Après avoir prononcé une série de mises en demeure en avril 2022 à l’encontre de 22 communes qui ne s’étaient pas mises en conformité, la CNIL a sanctionné la commune de Kourou à deux reprises pour ne pas avoir désigné de DPO.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-designation-d-un-dpo-une-commune-sanctionnee-par-la-cnil

Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Les cookie walls validés sous conditions par la CNIL

 

Les règles d’utilisation des cookies doivent être mises à jour par le futur règlement e-privacy, qui n’est toujours pas adopté à ce jour. (1) Toutefois, l’utilisation des cookies est également régie par le RGPD, notamment en ce qui concerne les règles relatives au consentement des internautes.

Suite à l’entrée en application du RGPD, qui a notamment renforcé l’obligation de recueil du consentement des internautes par les responsables du traitement, de nombreux sites web ont mis en place des “cookie walls” (ou “murs de traceurs”) afin d’assurer la perception de revenus publicitaires. L’accès à ces sites est ainsi subordonné soit à l’acceptation des cookies par l’internaute (notamment des cookies de ciblage publicitaire), soit à un paiement ponctuel ou via un abonnement en cas de refus des cookies par l’internaute.

Le 4 juillet 2019, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs. Ces lignes directrices invalidaient les cookie walls, en précisant notamment que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies. Par la suite, le Conseil d’Etat dans sa décision du 19 juin 2020, a partiellement invalidé les lignes directrices de la CNIL concernant l’interdiction des cookie walls. (2)

Dans une recommandation du 16 mai 2022, la CNIL vient de préciser les conditions de validité des cookie walls. (3)


1. L’existence d’alternatives réelles et satisfaisantes

Dans sa recommandation du 16 mai 2022, la CNIL propose des critères d’évaluation pour apprécier la légalité des cookie walls. Comme précisé par le Conseil d’Etat dans sa décision du 19 juin 2020, ces critères doivent prendre en compte l’existence d’alternatives réelles et satisfaisantes en cas de refus des cookies par l’internaute.

Ainsi, l’éditeur qui met en place un cookie wall doit s’assurer que l’internaute qui refuse les cookies dispose d’une d’alternative réelle et équitable, soit pour accéder au site, soit parce qu’il existe un autre site, facile d’accès et sans cookie wall, proposant un contenu similaire.

L’alternative serait inexistante en cas d’exclusivité de l’éditeur sur les contenus ou services proposés, ou lorsqu’il n’y a pas ou peu d’alternatives au service.


2. Le caractère raisonnable de l’accès payant

Quant au prix à payer pour accéder au contenu en cas de refus des cookies, cette contrepartie payante (ou “pay wall”) est soumise à l’évaluation du caractère raisonnable du tarif imposé à l’internaute. Le caractère “raisonnable” du tarif, qui n’est pas fixé par la CNIL, doit être justifié par l’éditeur du site.

La CNIL précise par ailleurs qu’en principe, aucun cookie ne doit être déposé en cas d’accès payant, hormis ceux nécessaires au fonctionnement du site et ceux qui pourraient être imposés pour accéder à un contenu ou service tiers (par exemple, vidéo hébergée sur un site tiers ou boutons de partage sur les réseaux sociaux).

L’analyse de l’existence d’alternatives réelles et du caractère raisonnable du tarif de l’accès au site est réalisée au cas par cas.


    La collecte de données personnelles via un cookie wall, impliquant l’acceptation des cookies ou un accès payant au site web, doit en tout état de cause être conforme aux exigences fixées par le RGPD : recueil du consentement de l’internaute, transparence quant aux données collectées et à la finalité (ou aux finalités) du traitement, minimisation des données collectées par le responsable du traitement.

* * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

(2) Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs

(3) “Cookie walls : la CNIL publie des premiers critères d’évaluation”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2022

Données numériques post-mortem : comment gérer les données d’un proche décédé ?

 

La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)


1. Les données personnelles numériques sont, par définition, personnelles

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2)

Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.

Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.

Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ?

Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).

De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.


2. Les conditions de la mise à jour des données numériques après la mort d’un proche

La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.

Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.

    a) La personne a défini des directives relatives à ses données personnelles après son décès

Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.

Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.

Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.

    b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès

Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).

Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.

En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.

* * * * * * * * * * *

(1) Source : CNIL “Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”

(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)

(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446

(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs

La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.”

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

• L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

• L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

• Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur

Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme. 

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-nouvelles-lignes-directrices-de-la-cnil-en-matiere-de-cookies-l-accent-est-mis-sur-le-consentement-de-l-utilisateur

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-conformite-et-infractions-au-rgpd-quelles-sont-les-actions-repressives-de-la-cnil

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-personnelles-et-brexit-comment-se-preparer-a-une-sortie-de-l-ue-sans-accord

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

Lire le suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-prononce-une-sanction-record-de-50-millions-d-euros-a-l-encontre-de-google

Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité

La loi Informatique et Libertés impose une obligation générale de sécurité au responsable de traitement, qui “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.” (1)

En cas d’incident de sécurité, l’obligation de notification des violations de données personnelles est actuellement limitée à certaines catégories d’organismes, en vertu de plusieurs textes nationaux ou européens (notamment le règlement e-Privacy, le règlement eIDAS, la directive NIS, la directive Paquet Télécom, la loi visant les systèmes d’information d’importance vitale, la loi de modernisation du système de santé). (2)

Par exemple, la loi Informatique et Libertés (art. 34 bis) prévoit une obligation de notification des violations de données personnelles uniquement aux fournisseurs de services de communications électroniques accessibles au public, à savoir, les opérateurs déclarés auprès de l’ARCEP (fournisseurs de téléphonie fixe et mobile et FAI). Par ailleurs, le Code de la défense impose à certains organismes publics et privés de notifier des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). (3) Cette obligation de notification est cependant limitée aux opérateurs d’importance vitale (OIV).

Le règlement général sur la protection des données (RGPD), qui doit entrer en application le 25 mai 2018, comprend des dispositions renforçant cette obligation de sécurité. Ainsi, l’article 32 “Sécurité du traitement” dispose : (2)

“1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    a) la pseudonymisation et le chiffrement des données à caractère personnel ;
    b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;    d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)”

L’article 33 du RGPD impose une nouvelle obligation de notification à l'autorité de contrôle d'une violation de données à caractère personnel. Cette obligation s’appliquera désormais à tout organisme, et ne sera plus limitée à certaines catégories d’activités.

Le 26 juillet 2017, la CNIL a publié des recommandations relatives à la procédure de notification d’incidents de sécurité aux autorités. (4)

Les organismes doivent donc s’assurer de la conformité de leurs procédures internes à la loi, notamment en matière de sécurité de leurs systèmes informatiques et désormais, en matière de notification d’incidents de sécurité aux autorités. Pour ce faire, les organismes peuvent s’appuyer sur les textes mais également sur le processus de gestion des incidents défini par la norme ISO/IEC 27035.

Ainsi, la procédure de gestion des incidents peut être découpée en cinq étapes, comme suit :

    1. Créer un annuaire et des procédures de gestion des incidents afin :
    . d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour ;
    . d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour (prestataires de service impliqués, autorités destinataires des notifications, liens vers les formulaires de notification, etc) ;
    . de formaliser et de tester les procédures internes de gestion des incidents.
    2. Mener une veille (sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team)/CERT (Computer Emergency Response Team), fils RSS) et mettre en œuvre des outils de détection des incidents et de remontée d’alertes permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des événements de sécurité, dans le respect des droits des utilisateurs;
    3. Qualifier l’incident notamment dans le but de déterminer la(les) autorité(s) destinataires de la notification, le cas échéant ;
    4. Résoudre et notifier l’incident à(aux) autorité(s) de régulation ;
    5. Faire un bilan de l’incident et mettre en oeuvre les actions correctives nécessaires afin d’empêcher la reproduction de l’incident.

En cas de violation de données personnelles, l’organisme doit documenter l’incident dans un registre interne reprenant les faits concernant l’incident de sécurité, ses effets et les mesures prises pour y remédier.

Concernant plus particulièrement le RGPD, la CNIL émet les recommandations suivantes pour gérer au mieux la procédure de notification des violations de données à caractère personnel. En cas d'une violation de données, l’organisme devra porter à la connaissance de la CNIL, via un téléservice opérationnel en mai 2018, les éléments suivants :
    - la description de la nature de la violation de données à caractère personnel ;
    - les catégories de données concernées ;
    - le nombre approximatif de personnes concernées par la violation ;
    - les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, et décrire les conséquences probables de la violation de données et préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement devra informer, en termes clairs et simples, les utilisateurs touchés par l’incident, sauf si le responsable a pris, préalablement ou postérieurement à la violation, des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire pourra être réalisée. La CNIL pourra demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts par l’organisme, ceux-ci devront être communiqués à la CNIL.


Jusqu’à présent, l’obligation de notification des incidents de sécurité n’incombait qu’à certaines catégories d’organismes. Le nombre de cas de violation rendu public reste donc limité. Cependant, avec la multiplication des obligations de notification des incidents de sécurité aux autorités de régulation et de contrôle, mais également aux personnes concernées, de plus en plus d’incidents seront rendus publics. Il sera donc nécessaire, pour les organismes victimes d’une violation de données, de gérer leur réputation auprès des marchés, en parallèle de la notification d’incident et des actions correctives. Dans ce domaine, la transparence et l’information des personnes concernées et du public sur les mesures correctives mises en oeuvre sont des éléments clés.

                                                                      * * * * * * * * * * * *


(1) Article 34, loi Informatique et Libertés du 6 janvier 1978, modifiée

(2) Règlement (UE) n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ; Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union ; Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; Décret n°2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information

(3) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(4) Site de la CNIL


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2017

Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?

Le règlement général sur la protection des données (RGPD) entrera en application dans tous les pays de l’Union européenne dans moins d’un an, le 25 mai 2018. (1) Il s’agit d’une profonde réforme du droit de la protection des données personnelles qui nécessite, pour les organismes - entreprises, associations et administrations -, de prendre des mesures de mise en conformité afin d’être prêt en mai 2018. De nombreuses différences existent entre la loi Informatique et Libertés et le règlement européen. Notamment, le règlement, qui prend en compte l’évolution des technologies et des modes de traitement des données, a pour ambition de renforcer les droits des personnes concernées sur leurs données, par des règles plus claires relatives au consentement à la collecte et au traitement des données personnelles, mais aussi concernant les politiques de protection des données des entreprises.

Les organismes sont désormais soumis à un nouveau principe de responsabilité (“accountability”) applicable à la protection des données dans l’entreprise. Ce principe de responsabilité se traduit par la mise en place de procédures nouvelles, telles que la prise en compte de la protection des données dès la conception d’un produit ou d’un service (“privacy by design”), la réalisation d’analyses d’impact relatives à la protection des données lorsque le traitement est susceptible d’engendrer des risques pour les droits des personnes concernées, la tenue d’un registre des traitements et des procédures mises en place, l’obligation de notifier les violations de données personnelles (à la suite d’une faille de sécurité ou d’une cyberattaque par exemple).

Pour rappel, le montant des sanctions pour violation des dispositions du RGPD sera beaucoup plus élevé qu’actuellement, puisqu’il pourra atteindre, suivant la nature de l’infraction, entre 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise, et 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise…

La CNIL en France, et les membres du G29 (CNIL européennes) travaillent activement pour aider les organismes à se préparer à la mise en conformité au RGPD. La CNIL a publié un plan pour aider les organismes à s’organiser pour se préparer à la mise en conformité au RGPD. Par ailleurs, les membres du G29 ont adopté des lignes directrices dont l’objet est de préciser certaines notions nouvelles du règlement.


1. Le plan de mise en conformité préconisé par la CNIL

La Commission nationale de l’informatique et des libertés a publié un plan pour aider les organismes à préparer la mise en conformité au RGPD. (2) Celui-ci se décline en six étapes, comme suit :

    - Etape 1 : désigner un “pilote” à la conformité - CIL ou futur DPO
Compte tenu de la complexité de la mise en oeuvre de la conformité au RGPD, une personne doit être désignée pour piloter cette phase. Cette personne, - correspondant informatique et libertés (CIL), futur délégué à la protection des données (DPD ou DPO) ou conseil externe -, exercera une mission d’information, de conseil et de contrôle en interne et permettra d'organiser et coordonner les actions de mise en conformité à mener.

    - Etape 2 : cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l’entreprise, les traitements réalisés doivent être recensés dans un registre.

    - Etape 3 : prioriser les actions à mener
Sur la base des traitements recensés, les actions de conformité à mettre en oeuvre pourront être identifiées. Ces actions seront classées par ordre de priorité, au regard des risques des traitements réalisés, sur les droits et les libertés des personnes concernées.

    - Etape 4 : gérer les risques
Si des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, une analyse d'impact sur la protection des données (DPIA) devra être réalisée pour chacun de ces traitements. A cette fin, les organismes peuvent se référer aux lignes directrices sur les analyses d’impact relatives à la protection des données pour les guider dans la mise en oeuvre de ces nouvelles procédures (voir ci-après).

    - Etape 5 : organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, des procédures internes devront être prévues. Ces procédures devront garantir la prise en compte de la protection des données à tout moment, en considérant l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (tels que faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

    - Etape 6 : documenter la conformité
Pour démontrer la conformité de l’entreprise au règlement, il conviendra de constituer et regrouper la documentation nécessaire (procédures internes, analyses d’impact, documents d’audit interne, etc.). Ces documents devront être mis à jour régulièrement.


2. Les lignes directrices élaborées par les membres du G29 au 30 juin 2017

Les membres du G29 ont publié plusieurs documents de support à la mise en oeuvre du règlement dont l’objet est de clarifier les nouveaux principes à mettre en oeuvre. Ces lignes directrices (“guidelines”) doivent accompagner les organismes dans leurs travaux de mise en conformité au RGPD. Fin juin 2017, les lignes directrices suivantes étaient publiées :

    - Lignes directrices sur les analyses d’impact relatives à la protection des données
Ces lignes directrices détaillent les types de traitements concernés par une analyse d’impact, les méthodologies existantes pour réaliser une analyse d’impact, les règles selon lesquelles une analyse d’impact doit être publiée et/ou communiquée à l’autorité de contrôle, et les règles selon lesquelles l’autorité de contrôle doit être consultée en cas de traitement potentiellement à risques.

La notion d’analyse d’impact relative à la protection des données (Data Protection Impact Assessment (DPIA) est définie à l’article 35 du RGPD. L’analyse d’impact a pour objet de décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement, et doit permettre de gérer les risques sur les droits et libertés des individus, générés par ce traitement de données.

L’analyse d’impact est l’un des mécanismes prévus dans le cadre de la notion de responsabilité, permettant aux responsables de traitement de se mettre en conformité et de démontrer que des mesures appropriées ont été prévues pour assurer cette conformité au règlement. Le non-respect de l’obligation de réaliser une analyse d’impact est passible, pour l’organisme fautif, d’une amende administrative pouvant s’élever à 10 millions d’euros ou 2% de son chiffre d’affaires mondial de l’année précédente.

    - Lignes directrices relatives au délégué à la protection des données
Ces lignes directrices détaillent les conditions de désignation d’un délégué à la protection des données (DPD ou DPO - data protection officer), ainsi que le rôle et les missions du DPO. La notion et les fonctions du délégué à la protection des données sont prévues aux articles 37 à 39 du règlement européen.

Dans le cadre de l’obligation générale de conformité au RGPD, certains organismes - responsables de traitement et sous-traitants, devront nommer un délégué à la protection des données. Bien que ce concept ne soit pas nouveau (cf le correspondant informatique et libertés - CIL, en France), la désignation d’un DPO n’était pas obligatoire en vertu de la directive de 1995.

Le DPO permet aux organismes d’assurer leur conformité au règlement européen (fonctions d’audit par exemple, de relais entre les différents départements de l’entreprise, avec les autorités de contrôle, et avec les personnes concernées). En revanche, comme le CIL, le DPO ne peut être tenu responsable en cas de non-conformité de l’organisme à la règlementation. Le responsable de traitement, ou le sous-traitant, reste responsable de la conformité au règlement et à sa mise en oeuvre.

    - Lignes directrices sur le droit à la portabilité des données
Ces lignes directrices définissent la notion de droit à la portabilité des données, identifient les principaux éléments de ce nouveau droit, identifient les situations quand ce droit doit s’appliquer, définissent comment les règles relatives aux droits des personnes concernées s’appliquent au droit à la portabilité des données, et enfin, définissent comment les données doivent être communiquées.

Le droit à la portabilité des données est prévu à l’article 20 du règlement européen. Contrairement au droit d’accès, prévu dans la directive de 1995, ce nouveau droit permet aux personnes concernées de recevoir les données fournies au responsable de traitement, dans un format structuré et lisible par la machine et de transmettre ces données à un nouveau responsable de traitement. Le droit à la portabilité des données sera utilisé en cas de passage d’un fournisseur à un autre, mais pas uniquement.

    - Lignes directrices sur l’autorité du chef de file
Le règlement européen crée la notion d’autorité de contrôle chef de file, pour les traitements de données transfrontaliers.

Ces lignes directrices permettent d’identifier l’autorité chef de file compétente pour les traitements de données transfrontaliers, notamment lorsque le lieu de l’établissement principal du responsable de traitement est différent de son siège européen, lorsque plusieurs sociétés sont concernées au sein d’un groupe, ou lorsqu’il y a plusieurs responsables de traitement conjoints. La situation des sous-traitants est également abordée. 

D’autres lignes directrices sont en cours d’élaboration : lignes directrices sur la certification, lignes directrices concernant la notification de violations de données personnelles, lignes directrices sur le consentement des personnes, enfin lignes directrices sur le profilage.


                                                                * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(2) Voir site de la CNIL

(3) Lignes directrices disponibles, en anglais, sur le site de la CNIL : Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ; Guidelines on Data Protection Officers (“DPOs”) ; Guidelines on the right to data portability ; Guidelines for identifying a controller or processor’s lead supervisory authority

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

Les apports de la loi pour une République numérique dans le domaine de la protection des données personnelles

Le droit de la protection des données évolue. Après la publication du règlement européen sur la protection des données (RGPD) le 27 avril dernier, (1) la loi pour une République numérique, adoptée le 7 octobre 2016 comporte plusieurs dispositions qui viennent modifier la loi Informatique et Libertés.(2) Certaines dispositions anticipent d’ailleurs l’entrée en vigueur du RGPD.

Nous faisons une synthèse ci-après des principales dispositions relatives aux données personnelles. Ces dispositions s’articulent sur deux axes : un renforcement des droits des personnes sur leurs données et un élargissement des pouvoirs et des compétences de la Commission nationale de l’informatique et des libertés (CNIL).


1. Les droits des personnes sur leurs données

    - Le principe de la maîtrise de ses données
La loi affirme le principe de la maîtrise par chaque individu de ses données. L’article 1er de la loi Informatique et Libertés comporte un nouvel alinéa qui dispose que “Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.” Ce droit se retrouve dans plusieurs dispositions de la loi Informatique et Libertés qui évoluent dans ce sens.

    - Un droit à l’oubli pour les mineurs est désormais prévu, à l’article 40 II de la loi Informatique et libertés.
Ce droit est soumis à une procédure accélérée. Ainsi, lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement de ses données dans les meilleurs délais, ou un délai maximum d’un mois. En l’absence de réponse de la plateforme, ou de réponse négative, dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour répondre.

    - Le sort des données personnelles après la mort de la personne concernée figure à l’article 40-1 de la loi Informatique et libertés.

Dans une décision du 8 juin 2016, le Conseil d’Etat a confirmé la position de la CNIL refusant de donner accès aux données à caractère personnel d’une employée décédée, à ses ayants droit. En l’espèce, les ayants droit d’une personne décédée en 2012 avaient demandé à son employeur de leur communiquer le relevé des appels téléphoniques passés par la défunte pendant le mois de juillet 2012, depuis sa ligne professionnelle, afin de connaître le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. Suite au refus de l’employeur, ils avaient porté plainte auprès de la CNIL qui avait refusé de donner suite à leur demande. Selon l’article 2 de la loi Informatique et Libertés, la personne concernée par un traitement est celle à laquelle se rapportent les données. L’ayant droit d’une personne décédée ne peut donc pas être considéré comme la personne concernée, au sens de la loi Informatique et Libertés. (3)

La loi Informatique et Libertés a été modifiée afin que désormais chaque personne puisse donner des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci aura alors qualité, lorsque la personne concernée est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.
Ces directives peuvent être générales, lorsqu’elles portent sur l’ensemble des données concernant une personne et peuvent être confiées à un tiers de confiance certifié par la CNIL.
Les directives peuvent être particulières, lorsqu’elles ne concernent que certains traitements de données. Elles peuvent alors être confiées aux responsables de traitement (réseaux sociaux, services ou site de commerce en ligne) qui les mettront en oeuvre lors du décès. La seule acceptation des conditions d’utilisation du site est insuffisante. Les modalités de mise en oeuvre sont soumises au consentement spécifique de la personne concernée.
En l'absence de directives données de son vivant par la personne concernée, ses héritiers pourront exercer certains droits, en particulier le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt et le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement des données.

    - La possibilité d'exercer ses droits par voie électronique est prévue à l’article 43 bis de la loi Informatique et Libertés qui impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

    - Enfin, l’information des personnes sur la durée de conservation de leurs données est prévue par l’article 32 de la loi Informatique et Libertés.
Les responsables de traitements doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


2. L’élargissement des pouvoirs et des compétences de la CNIL

    - Le renforcement des pouvoirs de sanction de la CNIL
Le montant maximal des sanctions pouvant être imposées par la CNIL est revu à la hausse et passe de 150.000 € à 3 millions €. Ce nouveau plafond reste cependant en deçà des dispositions du RGPD qui prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

La formation restreinte de la CNIL pourra désormais ordonner que les organismes sanctionnés informent individuellement chacune des personnes concernées de la sanction, à leur frais.

La CNIL pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

    - Un rôle consultatif plus systématique
La CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel. L’objectif de cette disposition est de permettre à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique.

Les avis de la CNIL sur les projets de loi seront automatiquement publiés, dans un but de transparence.

    - Des compétences étendues pour la CNIL
Elle hérite ainsi de nouvelles missions, à savoir :
- la promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;
- la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (ouverture des données publiques - open data). L’anonymisation des bases de données est en effet une condition essentielle à leur ouverture ou à leur partage ;
- la conduite d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.


                                                  * * * * * * * * * * * *

(1) Pour rappel, le RGPD deviendra applicable dans l’Union européenne à partir du 25 mai 2018

(2) Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

(3) CE, 9é et 10é ch. réunies, décision du 8 juin 2016, M.-Mme D c/ Banque de France

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?

Après le coup de tonnerre lancé par la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 d’invalider les règles du Safe Harbor, les entreprises européennes qui travaillent avec des partenaires commerciaux aux Etats-Unis ayant adhéré aux principes du Safe Harbor (maisons-mères, filiales, sous-traitants, prestataires de services Cloud) doivent revoir les conditions de transfert de données personnelles vers ces entités. (1)

Dans cet article, nous faisons un point sur les règles de transfert de données personnelles à l’international et apportons quelques réponses aux mesures à prendre suite à la décision de la CJUE.


1. Le contexte : les règles relatives aux transferts de données personnelles hors de l’UE et l’invalidation des principes du Safe Harbor

Les règles européennes de protection de la vie privée sont d’application stricte. Alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières, les transferts en dehors de l’Union européenne restent par principe interdits, sauf dans le cadre des exceptions que nous rappelons ci-après.

    1.1 L’encadrement des transferts de données personnelles hors Union européenne

Avec la globalisation des échanges commerciaux, la plupart des entreprises sont amenées à transférer des données personnelles dans des pays tiers, que ce soit vers d’autres sociétés de leur groupe, vers des partenaires commerciaux ou vers des prestataires de services. Or, les transferts de données personnelles en dehors de l’Union européenne sont en principe interdits. Il existe néanmoins plusieurs exceptions à ce principe. Sont ainsi autorisés :

    - les transferts de données réalisés vers un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou “adéquat”. Seuls quelques pays sont reconnus comme ayant une législation assurant un niveau de protection des données personnelles équivalent à celui en vigueur en Europe ; (2)
    - les transferts de données réalisés entre deux entités (exportatrice et importatrices de données) ayant signé les Clauses contractuelles types (“CCT”) adoptées par la Commission européenne. Les CCT sont des modèles de contrats de transferts de données. Cette solution contractuelle est applicable, soit entre deux responsables de traitement, soit entre un responsable de traitement et un sous-traitant ;
    - les transferts de données réalisés à l’intérieur d’un groupe multinational, entre deux ou plusieurs filiales du groupe, et sous réserve que l’entreprise multinationale ait mis en oeuvre des Règles internes d’entreprise (“Binding Corporate Rules” ou “BCR”) adoptées par l’ensemble des filiales et validées par l’une des autorités nationales de protection des données (ou “autorités de contrôle”, telle que la CNIL) ;
    - les transferts réalisés dans des situations exceptionnelles, sous réserve du consentement de la personne concernée par le traitement de données ;
    - enfin, les transferts de données réalisés vers les Etats-Unis, sous réserve que la société importatrice adhère aux principes du Safe Harbor.

Le système du Safe Harbor (ou “sphère de sécurité”) est un ensemble de règles de protection des données personnelles, négocié entre les autorités américaines (Department of Commerce) et la Commission européenne en 2000 et validé par une décision de la Commission du 26 juillet 2000. Le fonctionnement du Safe Harbor repose sur l’engagement des entreprises américaines qui décident d'y adhérer et l’auto-certification de celles-ci. L'adhésion au Safe Harbor est volontaire, mais ses règles sont alors contraignantes pour les entreprises adhérentes. La commission fédérale du commerce américaine (FTC) est chargée du contrôle de l'application des principes du Safe Harbor par les entreprises adhérentes.

Toutefois, les principes du Safe Harbor viennent d’être invalidés par la Cour de justice de l’Union européenne.

    1.2 La décision Schrems de la CJUE du 6 octobre 2015

Dans sa décision du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a remis en cause le système du Safe Harbor, en jugeant qu’une autorité de contrôle pouvait suspendre les transferts de données personnelles depuis l’Union européenne vers les Etats-Unis.

L’affaire en cause concernait un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008. Les données fournies par les utilisateurs de Facebook transitent par sa filiale située en Irlande, avant d’être transférées vers le territoire américain. Monsieur Schrems a déposé plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commissioner), considérant que suite aux révélations de 2013 concernant les activités de renseignement des Etats-Unis (affaire “Snowden”), ce pays n’offrait pas de réelle protection contre la surveillance des données de citoyens européens. L’autorité irlandaise a rejeté la plainte déposée en arguant que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées dans le cadre de règles de Safe Harbor. (3)

La High Court of Ireland (Haute cour de justice irlandaise), saisie de l’affaire, a alors posé deux questions préjudicielles à la CJUE, afin de savoir si la décision rendue par la Commission européenne en 2000 empêchait une autorité nationale de contrôle d’enquêter lorsqu’un plaignant soutient qu’un pays tiers à l’Union n’offre pas les protections adéquates concernant les données personnelles transférées. Le plaignant est-il ainsi lié, de manière absolue, par la décision rendue par la Commission, sans autre possibilité de recours ?

Dans sa décision du 6 octobre 2015, la CJUE a jugé que la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, “un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne”.

En l’espèce, la CJUE a relevé que les autorités américaines pouvaient accéder, de manière massive et indifférenciée, aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, notamment aux citoyens européens.

Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux lois américaines d’ordre public et doivent ainsi écarter “sans limitation” l’application des clauses du Safe Harbor qui leur seraient contraires. Constatant que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate des données personnelles, la Cour a prononcé l’invalidation de la décision d’adéquation.

La CJUE a par ailleurs jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection des données à caractère personnel, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive de 1995.

La Cour en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision invalidée de la Commission européenne ne pouvait priver les autorités de contrôle d’une telle possibilité.


2. Les conséquences de l’arrêt Schrems : une insécurité juridique nécessitant une mise à jour des conditions de transfert des données

Les transferts de données personnelles opérés vers les Etats-Unis dans le cadre des principes du Safe Harbor n’ont donc désormais plus de base légale. Ceci implique non seulement, que les transferts de données précédemment validés ne sont plus conformes à la loi, mais également qu’il n’est plus possible de réaliser de nouveaux transferts de données sur la base du dispositif Safe Harbor.

    2.1 Les suites de la décision Schrems

- Le Groupe de travail “article 29” (ou G29) : la CNIL examine actuellement, avec ses homologues du G29 (représentants des autorités de protection des données des Etats membres), les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015.

Entretemps, le G29 a demandé aux institutions européennes de mettre en place une solution visant à palier l’insécurité juridique du système Safe Harbor actuel. Dans un communiqué du 15 octobre dernier, le G29 a invité les institutions européennes à engager des discussions avec les autorités américaines, afin de trouver un dispositif permettant le transfert des données personnelles dans le respect des droits fondamentaux, et ce avant le 31 janvier 2016. (4)

En cas d’échec des négociations à l’échéance de ce délai de rigueur, les autorités européennes de contrôle pourraient “mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées”.

- Les autorités de contrôle : en réaction à la décision de la CJUE, plusieurs autorités de protection des données ont d’ores et déjà pris des mesures “préventives”.

Les autorités de régulation des différents Länder allemands et l’organe de supervision nationale ont annoncé qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis, y compris par le biais de Clauses contractuelles types ou des BCR.

L’autorité espagnole (Agencia Española de Protección de Datos - AEPD) a annoncé qu’elle adresserait aux organismes ayant déclaré procéder à des transferts dans le cadre du Safe Harbor, un courrier afin de savoir quelles solutions alternatives ils souhaitent mettre en place.

La décision Schrems a également produit des répercussions au-delà des frontières de l’Union européenne, notamment pour les pays assurant une protection adéquate, dans leurs propres transferts vers les Etats-Unis.

Ainsi, l’autorité israélienne de protection des données (Israeli Law, Information and Technology Agency - ILITA) a décidé de suspendre les transferts de données personnelles vers les Etats-Unis.

Enfin, l’autorité suisse a affirmé que, tant qu’un nouvel accord avec le gouvernement américain ne serait pas renégocié, le “U.S.-Swiss Safe Harbor Framework” ne constituerait plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD). 


Enfin, d’autres pays tiers à l’Union européenne réfléchissent actuellement aux conditions de transfert de données vers les Etats-Unis et à l’international.

- La Commission européenne : le 6 novembre dernier, la Commission a publié des orientations sur les possibilités de transferts transatlantiques de données, applicables jusqu'à la mise en place d'un nouveau cadre réglementaire.

La communication de la Commission analyse les répercussions de l'arrêt Schrems et propose des alternatives possibles pour transférer légalement des données à caractère personnel vers les États-Unis (CCT ou BCR notamment). (5)

- Vers un Safe Harbor 2.0 ? : enfin, la Commission européenne a décidé de procéder à un réexamen des principes de Safe Harbor à la suite des révélations d’Edward Snowden courant 2013 sur les opérations de surveillance opérées notamment par la NSA depuis l’entrée en vigueur des lois d’exception américaines votées après les attentats du 11 septembre 2001. Dès novembre 2013, la Commission a publié 13 recommandations en vue d’améliorer le système.

Depuis l'arrêt Schrems du 6 octobre 2015, la Commission accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission est de conclure ces discussions avant fin janvier 2016.

    2.2 Comment gérer les transferts de données pendant cette période transitoire ?

L’invalidation du dispositif Safe Harbor ouvre une période d’incertitude et soulève de nombreuses questions pour les entreprises opérant en vertu des principes du Safe Harbor.

Ainsi, les entreprises qui transfèrent des données personnelles vers les Etats-Unis peuvent-elles continuer leurs activités sans changer de cadre, en attendant la prise de position des institutions ? Est-il opportun de mettre en place des Clauses contractuelles types ou des BCR, sachant que cette procédure prend un certain temps pour sa mise en oeuvre (approbation des BCR par une autorité de protection ou signature des CCT par les entreprises concernées) ? Doit-on suspendre les transferts de données vers les Etats-Unis et les relocaliser en Europe, voire les transférer vers un pays “adéquat” ? Enfin, pour les transferts de données dans le cadre de l’exécution d’un contrat de service en cloud computing, que faire si le prestataire du service cloud américain refuse de modifier les conditions de transfert et que l’entreprise européenne est alors contrainte de résilier le contrat à ses frais ?

Le délai de trois mois pour arriver à un nouveau système Safe Harbor peut paraître “agressif” et rien ne garantit qu’il sera tenu.

En attendant que les autorités et les institutions prennent position et qu'un Safe Harbor 2.0 voie le jour, les entreprises doivent mettre en place des solutions juridiques et techniques pour limiter les risques juridiques liés à ces transferts. A ce titre, il convient de rappeler que les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles, en matière de transferts non autorisés de données, peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.

- Audits juridiques : dans un premier temps, il est recommandé de réaliser un audit juridique et technique des transferts de données en cours et des analyses de risques. Il convient d’identifier clairement les traitements et types de données concernés, le régime juridique sous lequel ces données sont transférées, puis d’étudier les impacts de l’invalidation du système Safe Harbor pour l’entreprise, à court et moyen terme.

- Solutions de mise en conformité : une fois l’audit réalisé et les transferts identifiés, il conviendra de réfléchir à l’adoption de solutions alternatives de mise en conformité plus protectrices. Trois solutions sont envisageables : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types peuvent paraître comme la solution la plus simple à mettre en place à court terme. Il est cependant nécessaire d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. En cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de contrôle pour validation.

A défaut d’accord avec les prestataires américains tiers pour fonctionner sous le système des Clauses contractuelles types, et si les circonstances l’exigent et/ou le permettent, il conviendra d’envisager de rompre les relations commerciales existantes et d’opter pour des prestataires européens ou localisés dans un pays “adéquat”.

La solution du contrat, à savoir un contrat rédigé par les parties et adapté aux transferts envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, la procédure et les délais de demande d’autorisation à l’autorité de contrôle. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. En outre, les BCR nécessitent généralement plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de régulation, avant de pouvoir être déployées dans le groupe.

Ces solutions de mise en conformité ont l'avantage de la stabilité. En effet, si les autorités se mettent d'accord sur un Safe Harbor 2.0, la décision Schrems rappelle que les autorités de contrôle de la protection des données pourront saisir les juridictions nationales, suite à la plainte d'une personne dont les droits auraient été violés par une société située aux Etats-Unis et adhérente aux principes du Safe Harbor. 
 
En toute hypothèse, il convient de s’adapter au cas par cas, en fonction de la taille de l’entreprise, du nombre de traitements concernés, et des risques identifiés. Le Cabinet peut vous accompagner dans cette démarche de mise en conformité.


                                                           * * * * * * * * * * * *


(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) Les pays assurant une protection adéquate, et donc, vers lesquels il est possible de transférer des données personnelles sans formalités supplémentaires sont : l’Argentine, le Canada, l’Islande, Israël, le Liechtenstein, la Norvège, la Nouvelle-Zélande, la Suisse, l’Uruguay

(3) Décision 2000/520/CE du 26 juillet 2000

(4) Communiqué du G29, Bruxelles le 15 octobre 2015 : “Statement of the Article 29 Working Party”.

(5) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2015