Droit à l’oubli contre liberté d’expression : la Cour d’appel de Paris confirme la primauté de la liberté d’expression

 

 

Ce qu’il faut retenir

Dans une décision du 20 février 2025, la Cour d’appel de Paris s’est prononcée sur la portée du droit à l’oubli en ligne, dans le cadre d’un litige opposant un ancien dirigeant sportif à un organe de presse numérique. La cour rappelle que la demande d’effacement fondée sur le droit à l’oubli ne saurait prévaloir sur le droit du public à l’information. 

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-droit-a-l-oubli-contre-liberte-d-expression-la-cour-d-appel-de-paris-confirme-la-primaute-de-la-liberte-d-expression

La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Bilan des sanctions prononcées par la CNIL en 2024

 

Ce qu’il faut retenir

Dans son bilan de l’année 2024, la CNIL souligne la forte augmentation des sanctions et autres mesures correctrices prononcées pour non-conformité au RGPD.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-bilan-des-sanctions-prononcees-par-la-cnil-en-2024

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Non-désignation d’un DPO : une commune sanctionnée par la CNIL

 

 

Ce qu’il faut retenir

Le RGPD s’applique aux organismes publics, comme aux organismes privés. Les collectivités locales par exemple, ont notamment l’obligation de désigner un DPO. Après avoir prononcé une série de mises en demeure en avril 2022 à l’encontre de 22 communes qui ne s’étaient pas mises en conformité, la CNIL a sanctionné la commune de Kourou à deux reprises pour ne pas avoir désigné de DPO.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-designation-d-un-dpo-une-commune-sanctionnee-par-la-cnil

Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Données personnelles des enfants : TikTok condamné à 345 millions d'euros d'amende pour violation du RGPD

 

Ce qu'il faut retenir

TikTok a été condamné par la DPC irlandaise à une amende de 345 millions d’euros pour violation du RGPD concernant les données de mineurs

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-donnees-personnelles-des-enfants-tiktok-condamne-a-345-millions-d-amende-pour-violation-du-rgpd

Les cookie walls validés sous conditions par la CNIL

 

Les règles d’utilisation des cookies doivent être mises à jour par le futur règlement e-privacy, qui n’est toujours pas adopté à ce jour. (1) Toutefois, l’utilisation des cookies est également régie par le RGPD, notamment en ce qui concerne les règles relatives au consentement des internautes.

Suite à l’entrée en application du RGPD, qui a notamment renforcé l’obligation de recueil du consentement des internautes par les responsables du traitement, de nombreux sites web ont mis en place des “cookie walls” (ou “murs de traceurs”) afin d’assurer la perception de revenus publicitaires. L’accès à ces sites est ainsi subordonné soit à l’acceptation des cookies par l’internaute (notamment des cookies de ciblage publicitaire), soit à un paiement ponctuel ou via un abonnement en cas de refus des cookies par l’internaute.

Le 4 juillet 2019, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs. Ces lignes directrices invalidaient les cookie walls, en précisant notamment que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies. Par la suite, le Conseil d’Etat dans sa décision du 19 juin 2020, a partiellement invalidé les lignes directrices de la CNIL concernant l’interdiction des cookie walls. (2)

Dans une recommandation du 16 mai 2022, la CNIL vient de préciser les conditions de validité des cookie walls. (3)


1. L’existence d’alternatives réelles et satisfaisantes

Dans sa recommandation du 16 mai 2022, la CNIL propose des critères d’évaluation pour apprécier la légalité des cookie walls. Comme précisé par le Conseil d’Etat dans sa décision du 19 juin 2020, ces critères doivent prendre en compte l’existence d’alternatives réelles et satisfaisantes en cas de refus des cookies par l’internaute.

Ainsi, l’éditeur qui met en place un cookie wall doit s’assurer que l’internaute qui refuse les cookies dispose d’une d’alternative réelle et équitable, soit pour accéder au site, soit parce qu’il existe un autre site, facile d’accès et sans cookie wall, proposant un contenu similaire.

L’alternative serait inexistante en cas d’exclusivité de l’éditeur sur les contenus ou services proposés, ou lorsqu’il n’y a pas ou peu d’alternatives au service.


2. Le caractère raisonnable de l’accès payant

Quant au prix à payer pour accéder au contenu en cas de refus des cookies, cette contrepartie payante (ou “pay wall”) est soumise à l’évaluation du caractère raisonnable du tarif imposé à l’internaute. Le caractère “raisonnable” du tarif, qui n’est pas fixé par la CNIL, doit être justifié par l’éditeur du site.

La CNIL précise par ailleurs qu’en principe, aucun cookie ne doit être déposé en cas d’accès payant, hormis ceux nécessaires au fonctionnement du site et ceux qui pourraient être imposés pour accéder à un contenu ou service tiers (par exemple, vidéo hébergée sur un site tiers ou boutons de partage sur les réseaux sociaux).

L’analyse de l’existence d’alternatives réelles et du caractère raisonnable du tarif de l’accès au site est réalisée au cas par cas.


    La collecte de données personnelles via un cookie wall, impliquant l’acceptation des cookies ou un accès payant au site web, doit en tout état de cause être conforme aux exigences fixées par le RGPD : recueil du consentement de l’internaute, transparence quant aux données collectées et à la finalité (ou aux finalités) du traitement, minimisation des données collectées par le responsable du traitement.

* * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

(2) Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs

(3) “Cookie walls : la CNIL publie des premiers critères d’évaluation”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2022

Transferts de données à l’international - la République de Corée reconnue comme offrant un niveau de protection adéquat

La République de Corée vient d’entrer dans le club des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 14é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-la-republique-de-coree-reconnue-comme-offrant-un-niveau-de-protection-adequat

La Chine adopte sa loi sur la protection des données personnelles

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-chine-adopte-sa-loi-sur-la-protection-des-donnees-personnelles

Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne

 

Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-royaume-uni-reconnu-comme-offrant-un-niveau-de-protection-adequat-par-la-commission-europeenne

Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 

Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

 

 Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-protection-des-donnees-personnelles-analyse-comparative-entre-le-rgpd-ue-et-les-cbpr-apec

 

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment.

 

Lire la suite de l'article :https://www.deleporte-wentz-avocat.com/actualite-flux-transfrontieres-de-donnees-personnelles-en-asie-pacifique-le-systeme-cbpr

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-conformite-et-infractions-au-rgpd-quelles-sont-les-actions-repressives-de-la-cnil

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-japon-reconnu-comme-offrant-un-niveau-de-protection-adequat

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

Lire le suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-prononce-une-sanction-record-de-50-millions-d-euros-a-l-encontre-de-google

RGPD : pendant quelle durée conserver les données personnelles ?

 

L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-rgpd-pendant-quelle-duree-conserver-les-donnees-personnelles

Pourquoi être concerné par le RGPD si votre entreprise n'est pas localisée dans l’UE ?

La directive du 24 octobre 1995 sur la protection des données s’appliquait aux traitements de données réalisés par des organismes, responsables de traitement, situés dans l’Union européenne. Les traitements de données réalisés par des responsables de traitement situés en dehors de l’UE n’étaient en principe pas soumis aux règles de la directive européenne, telles que transposées dans les lois nationales des Etats-membres. (1) Or, avec le développement des technologies et des services en ligne autour de la donnée, de nombreuses sociétés situées hors Union européenne, telles que Google, Amazon, Facebook ou Apple (les “GAFA”) notamment, collectent et traitent des données d’Européens et “échappent” à la réglementation européenne, même si les transferts de données vers ces sociétés américaines sont notamment soumis aux principes du Privacy Shield.

Désormais la donnée, et plus particulièrement la donnée personnelle, est au coeur de l’économie numérique. Il était donc nécessaire de mettre à jour la règlementation des données personnelles pour prendre en compte les évolutions technologiques intervenues depuis la directive de 1995 et assurer un niveau de protection élevé et homogène des données personnelles. C’est chose faite avec le règlement général sur la protection des données (RGPD). Ce texte, adopté le 27 avril 2016 après plus de quatre ans d’intenses discussions, doit entrer en application le 25 mai 2018. (2)

L’un des objectifs du RGPD est de prendre en compte, d’une part les cas dans lesquels plusieurs responsables de traitements et/ou sous-traitants, situés dans différentes régions du monde, sont impliqués dans un traitement de données, d’autre part les services de cloud computing et de big data (serveurs déployés et données collectées dans plusieurs régions), et enfin les activités des GAFA, ceci afin que les données personnelles des résidents européens restent protégées quel que soit le pays dans le monde où se trouve le responsable de traitement.

Le champ d’application du règlement couvre donc non seulement le territoire de l’Union européenne, mais aussi les entreprises situées hors Union européenne qui visent le marché européen. Ces entreprises sont donc concernées par le RGPD et doivent se mettre en conformité avec ces nouvelles règles.


1. Le RGPD, un texte applicable en Europe et au-delà

La directive de 1995 devait être transposée dans les lois nationales des Etats membres. Ces lois nationales sur la protection des données personnelles comportaient cependant des différences entre les Etats membres, certains états ayant choisi une application stricte de la directive, alors que d’autres ont opté pour une application plus souple.

Le règlement général sera d’application directe dans les Etats membres. Ses règles s’appliqueront de manière quasiment uniforme dans tous les Etats membres, hormis quelques dispositions qui pourront différer d’un pays à l’autre. (3)

Mais alors que la directive n’avait que peu d’impact en dehors de l’Union européenne, le règlement sera d’application territoriale dans l’UE, mais également extra-territoriale, au-delà de l’UE. (4)

    1.1 Application dans l’Union européenne

Le règlement s’appliquera, d’une part aux traitements de données à caractère personnel réalisés dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l’Union européenne, que le traitement lui-même ait lieu ou non dans l’UE.

L’établissement situé dans l’UE nécessite un effectif et une activité stables. En revanche, l’établissement n’est pas soumis à une forme juridique particulière. Il peut s’agir du siège, d’une filiale, voire de la succursale d’une entreprise, elle-même située en dehors de l’Union.

Le traitement peut être réalisé, ou non dans l’UE. Cette disposition permet par exemple de soumettre au règlement les bases de données hébergées en cloud, quels que soient les pays d’installation des serveurs.

    1.2 Application extra-territoriale

Le règlement s’appliquera d’autre part aux traitements de données à caractère personnel relatifs à des personnes qui se trouvent dans l’UE, réalisés par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’UE, lorsque les activités de traitement sont liées à l'offre de biens (site de e-commerce) ou de services (applications mobiles, hébergement de données en cloud) à ces personnes, à titre gratuit ou payant.

Pour déterminer si l’entreprise, responsable du traitement ou sous-traitant, vise le marché européen en proposant des biens ou des services à des personnes situées dans l’UE, il conviendra de relever les indices qui permettront d’établir que le responsable du traitement ou le sous-traitant visent bien le marché européen. Par exemple, la simple accessibilité du site internet de l’entreprise en cause, une adresse email ou l'utilisation d'une langue généralement utilisée dans le pays tiers où cette entreprise est établie ne suffira pas pour déterminer que le responsable du traitement ou le sous-traitant visent effectivement le marché européen. En revanche, des éléments tels que l'utilisation d'une langue européenne ou d'une monnaie telle que l’euro pourront permettre de démontrer que le marché européen est effectivement visé.

Par ailleurs, les traitements de données de personnes situées dans l'Union européenne par une entreprise, responsable du traitement ou sous-traitant, qui n'est pas établie dans l'Union seront également soumis au règlement lorsque ces traitements ont pour objet le suivi du comportement de ces personnes, sous réserve qu’il s’agisse de leur comportement dans l’UE. Cette disposition concerne particulièrement les activités de profilage en ligne, “afin notamment de prendre des décisions concernant” la personne, “ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.” (5)

On retiendra également que ces dispositions s’appliquent tant aux responsables de traitement qu’aux sous-traitants. Ces derniers sont donc concernés par les dispositions du RGPD, au même titre que les responsables de traitement, donneurs d’ordre, ou peuvent même être considérés comme co-responsables de traitement.

Ainsi, le règlement ne limite pas son applicabilité aux responsables de traitements et aux sous-traitants établis dans l’Union européenne, mais étend son périmètre géographique au-delà des frontières de l’Union européenne, dès lors que des données personnelles de résidents européens sont concernées.


2. Quelles conséquences pour les entreprises non-européennes ?

Les entreprises n’ayant aucun établissement sur le territoire de l’UE, mais qui visent l’Europe pour leurs activités commerciales (voir critères ci-dessus), et à ce titre, qui collectent et traitent des données personnelles d’Européens devront donc se conformer au RGPD, la date butoir étant fixée au 25 mai 2018.

    2.1 L’obligation de désigner un représentant dans l’Union

Au-delà des travaux de mise en conformité au règlement, les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE devront désigner “par écrit” un représentant dans l’Union. (6)

Ce représentant devra être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données font l'objet d'un traitement. Le représentant, mandaté par le responsable du traitement ou le sous-traitant, servira de contact pour les autorités de contrôle et les personnes concernées pour les questions relatives au traitement. Le responsable du traitement ou le sous-traitant resteront néanmoins responsables juridiquement de la conformité et du respect au RGPD.
La désignation d’un représentant ne s’appliquera cependant pas à toutes les entreprises non-européennes concernées.

Seront exemptés de cette obligation les responsables du traitement ou sous-traitants :
. qui mettront en oeuvre des traitements à titre occasionnel,
. qui n'impliquent pas un traitement à grande échelle des catégories particulières de données sensibles visées à l'article 9 par.1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10,
. et qui mettront en oeuvre des traitements ne nécessitant pas d’analyse d’impact en vertu de l’article 35 du règlement.

De même, les autorités et organismes publics non européens ne sont pas concernés par cette obligation de désignation d’un représentant.

    2.2 Le cas du Royaume-Uni après le Brexit

Une fois que le Royaume-Uni sera sorti de l’Union européenne, il ne sera plus soumis au RGPD. Cependant, le gouvernement britannique vient de se prononcer pour l’adoption d’une loi, réformant la Data Protection Act 1998 actuelle et intégrant dans le droit anglais les règles du RGPD.

L’objet de ce projet de loi est de rassurer le monde des affaires suite au Brexit, sur la possibilité de poursuivre les transferts de données entre le Royaume-Uni et l’Union européenne. Par ce biais, le Royaume-Uni souhaite s’assurer que sa loi sur la protection des données personnelles sera considérée par la Commission de Bruxelles comme offrant un niveau de protection adéquat, permettant de continuer à transférer librement des données personnelles entre le Royaume-Uni et l’UE. (7)

    2.3 La mise en conformité au RGPD

Le règlement européen comprend de nombreux principes nouveaux ou renforcés par rapport à la réglementation actuelle qu’il convient de prendre en compte. Ces principes devront être intégrés  par les entreprises dans leurs procédures de développement de nouveaux produits et services à destination du marché européen, pour être en conformité au règlement. Parmi ces principes, il convient de rappeler : (8)

a) Concernant les droits des personnes :
    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7) : les termes relatifs au consentement doivent être rédigés de manière claire et explicite. ;
    - L’information des personnes concernées doit être transparente, et rédigée en termes clairs et simples ;
    - Le droit à la portabilité des données (art. 20) permet aux personnes concernées de demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour les transférer à un nouveau responsable de traitement ;
    - La protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale.

b) Concernant les responsables de traitements et sous-traitants
    - Les traitements automatisés et les techniques de profilage sont encadrés (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement ;
    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation (notion d’“accountability”) (art. 5 et 24) ;
    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25) ;
    - Le règlement prévoit des règles de sécurité accrues et une obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34) ;
    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39).

Enfin, le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

                                                                   * * * * * * * * * * * *


(1) Voir l’article 4 “Droit national applicable” de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(3) Par exemple, l’âge minimum pour un jeune pour donner son consentement pourra être compris entre 13 et 16 ans, le choix étant laissé à chaque Etat membre.

(4) Voir RGPD, considérants 22 à 24 et article 3 “Champ d’application territoriale”

(5) Considérant 24

(6) RGPD, article 27

(7) “UK Government announces proposals for a new Data Protection Bill”, in Technology Law Dispatch, 16 août 2017

(8) Pour une analyse plus détaillée des obligations relatives à la mise en conformité au RGPD, voir nos articles à ce sujet : “Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé”, “Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?”, “Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité"


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2017

Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité

La loi Informatique et Libertés impose une obligation générale de sécurité au responsable de traitement, qui “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.” (1)

En cas d’incident de sécurité, l’obligation de notification des violations de données personnelles est actuellement limitée à certaines catégories d’organismes, en vertu de plusieurs textes nationaux ou européens (notamment le règlement e-Privacy, le règlement eIDAS, la directive NIS, la directive Paquet Télécom, la loi visant les systèmes d’information d’importance vitale, la loi de modernisation du système de santé). (2)

Par exemple, la loi Informatique et Libertés (art. 34 bis) prévoit une obligation de notification des violations de données personnelles uniquement aux fournisseurs de services de communications électroniques accessibles au public, à savoir, les opérateurs déclarés auprès de l’ARCEP (fournisseurs de téléphonie fixe et mobile et FAI). Par ailleurs, le Code de la défense impose à certains organismes publics et privés de notifier des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). (3) Cette obligation de notification est cependant limitée aux opérateurs d’importance vitale (OIV).

Le règlement général sur la protection des données (RGPD), qui doit entrer en application le 25 mai 2018, comprend des dispositions renforçant cette obligation de sécurité. Ainsi, l’article 32 “Sécurité du traitement” dispose : (2)

“1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    a) la pseudonymisation et le chiffrement des données à caractère personnel ;
    b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;    d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)”

L’article 33 du RGPD impose une nouvelle obligation de notification à l'autorité de contrôle d'une violation de données à caractère personnel. Cette obligation s’appliquera désormais à tout organisme, et ne sera plus limitée à certaines catégories d’activités.

Le 26 juillet 2017, la CNIL a publié des recommandations relatives à la procédure de notification d’incidents de sécurité aux autorités. (4)

Les organismes doivent donc s’assurer de la conformité de leurs procédures internes à la loi, notamment en matière de sécurité de leurs systèmes informatiques et désormais, en matière de notification d’incidents de sécurité aux autorités. Pour ce faire, les organismes peuvent s’appuyer sur les textes mais également sur le processus de gestion des incidents défini par la norme ISO/IEC 27035.

Ainsi, la procédure de gestion des incidents peut être découpée en cinq étapes, comme suit :

    1. Créer un annuaire et des procédures de gestion des incidents afin :
    . d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour ;
    . d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour (prestataires de service impliqués, autorités destinataires des notifications, liens vers les formulaires de notification, etc) ;
    . de formaliser et de tester les procédures internes de gestion des incidents.
    2. Mener une veille (sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team)/CERT (Computer Emergency Response Team), fils RSS) et mettre en œuvre des outils de détection des incidents et de remontée d’alertes permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des événements de sécurité, dans le respect des droits des utilisateurs;
    3. Qualifier l’incident notamment dans le but de déterminer la(les) autorité(s) destinataires de la notification, le cas échéant ;
    4. Résoudre et notifier l’incident à(aux) autorité(s) de régulation ;
    5. Faire un bilan de l’incident et mettre en oeuvre les actions correctives nécessaires afin d’empêcher la reproduction de l’incident.

En cas de violation de données personnelles, l’organisme doit documenter l’incident dans un registre interne reprenant les faits concernant l’incident de sécurité, ses effets et les mesures prises pour y remédier.

Concernant plus particulièrement le RGPD, la CNIL émet les recommandations suivantes pour gérer au mieux la procédure de notification des violations de données à caractère personnel. En cas d'une violation de données, l’organisme devra porter à la connaissance de la CNIL, via un téléservice opérationnel en mai 2018, les éléments suivants :
    - la description de la nature de la violation de données à caractère personnel ;
    - les catégories de données concernées ;
    - le nombre approximatif de personnes concernées par la violation ;
    - les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, et décrire les conséquences probables de la violation de données et préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement devra informer, en termes clairs et simples, les utilisateurs touchés par l’incident, sauf si le responsable a pris, préalablement ou postérieurement à la violation, des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire pourra être réalisée. La CNIL pourra demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts par l’organisme, ceux-ci devront être communiqués à la CNIL.


Jusqu’à présent, l’obligation de notification des incidents de sécurité n’incombait qu’à certaines catégories d’organismes. Le nombre de cas de violation rendu public reste donc limité. Cependant, avec la multiplication des obligations de notification des incidents de sécurité aux autorités de régulation et de contrôle, mais également aux personnes concernées, de plus en plus d’incidents seront rendus publics. Il sera donc nécessaire, pour les organismes victimes d’une violation de données, de gérer leur réputation auprès des marchés, en parallèle de la notification d’incident et des actions correctives. Dans ce domaine, la transparence et l’information des personnes concernées et du public sur les mesures correctives mises en oeuvre sont des éléments clés.

                                                                      * * * * * * * * * * * *


(1) Article 34, loi Informatique et Libertés du 6 janvier 1978, modifiée

(2) Règlement (UE) n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ; Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union ; Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; Décret n°2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information

(3) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(4) Site de la CNIL


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2017

Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?

Le règlement général sur la protection des données (RGPD) entrera en application dans tous les pays de l’Union européenne dans moins d’un an, le 25 mai 2018. (1) Il s’agit d’une profonde réforme du droit de la protection des données personnelles qui nécessite, pour les organismes - entreprises, associations et administrations -, de prendre des mesures de mise en conformité afin d’être prêt en mai 2018. De nombreuses différences existent entre la loi Informatique et Libertés et le règlement européen. Notamment, le règlement, qui prend en compte l’évolution des technologies et des modes de traitement des données, a pour ambition de renforcer les droits des personnes concernées sur leurs données, par des règles plus claires relatives au consentement à la collecte et au traitement des données personnelles, mais aussi concernant les politiques de protection des données des entreprises.

Les organismes sont désormais soumis à un nouveau principe de responsabilité (“accountability”) applicable à la protection des données dans l’entreprise. Ce principe de responsabilité se traduit par la mise en place de procédures nouvelles, telles que la prise en compte de la protection des données dès la conception d’un produit ou d’un service (“privacy by design”), la réalisation d’analyses d’impact relatives à la protection des données lorsque le traitement est susceptible d’engendrer des risques pour les droits des personnes concernées, la tenue d’un registre des traitements et des procédures mises en place, l’obligation de notifier les violations de données personnelles (à la suite d’une faille de sécurité ou d’une cyberattaque par exemple).

Pour rappel, le montant des sanctions pour violation des dispositions du RGPD sera beaucoup plus élevé qu’actuellement, puisqu’il pourra atteindre, suivant la nature de l’infraction, entre 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise, et 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise…

La CNIL en France, et les membres du G29 (CNIL européennes) travaillent activement pour aider les organismes à se préparer à la mise en conformité au RGPD. La CNIL a publié un plan pour aider les organismes à s’organiser pour se préparer à la mise en conformité au RGPD. Par ailleurs, les membres du G29 ont adopté des lignes directrices dont l’objet est de préciser certaines notions nouvelles du règlement.


1. Le plan de mise en conformité préconisé par la CNIL

La Commission nationale de l’informatique et des libertés a publié un plan pour aider les organismes à préparer la mise en conformité au RGPD. (2) Celui-ci se décline en six étapes, comme suit :

    - Etape 1 : désigner un “pilote” à la conformité - CIL ou futur DPO
Compte tenu de la complexité de la mise en oeuvre de la conformité au RGPD, une personne doit être désignée pour piloter cette phase. Cette personne, - correspondant informatique et libertés (CIL), futur délégué à la protection des données (DPD ou DPO) ou conseil externe -, exercera une mission d’information, de conseil et de contrôle en interne et permettra d'organiser et coordonner les actions de mise en conformité à mener.

    - Etape 2 : cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l’entreprise, les traitements réalisés doivent être recensés dans un registre.

    - Etape 3 : prioriser les actions à mener
Sur la base des traitements recensés, les actions de conformité à mettre en oeuvre pourront être identifiées. Ces actions seront classées par ordre de priorité, au regard des risques des traitements réalisés, sur les droits et les libertés des personnes concernées.

    - Etape 4 : gérer les risques
Si des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, une analyse d'impact sur la protection des données (DPIA) devra être réalisée pour chacun de ces traitements. A cette fin, les organismes peuvent se référer aux lignes directrices sur les analyses d’impact relatives à la protection des données pour les guider dans la mise en oeuvre de ces nouvelles procédures (voir ci-après).

    - Etape 5 : organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, des procédures internes devront être prévues. Ces procédures devront garantir la prise en compte de la protection des données à tout moment, en considérant l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (tels que faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

    - Etape 6 : documenter la conformité
Pour démontrer la conformité de l’entreprise au règlement, il conviendra de constituer et regrouper la documentation nécessaire (procédures internes, analyses d’impact, documents d’audit interne, etc.). Ces documents devront être mis à jour régulièrement.


2. Les lignes directrices élaborées par les membres du G29 au 30 juin 2017

Les membres du G29 ont publié plusieurs documents de support à la mise en oeuvre du règlement dont l’objet est de clarifier les nouveaux principes à mettre en oeuvre. Ces lignes directrices (“guidelines”) doivent accompagner les organismes dans leurs travaux de mise en conformité au RGPD. Fin juin 2017, les lignes directrices suivantes étaient publiées :

    - Lignes directrices sur les analyses d’impact relatives à la protection des données
Ces lignes directrices détaillent les types de traitements concernés par une analyse d’impact, les méthodologies existantes pour réaliser une analyse d’impact, les règles selon lesquelles une analyse d’impact doit être publiée et/ou communiquée à l’autorité de contrôle, et les règles selon lesquelles l’autorité de contrôle doit être consultée en cas de traitement potentiellement à risques.

La notion d’analyse d’impact relative à la protection des données (Data Protection Impact Assessment (DPIA) est définie à l’article 35 du RGPD. L’analyse d’impact a pour objet de décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement, et doit permettre de gérer les risques sur les droits et libertés des individus, générés par ce traitement de données.

L’analyse d’impact est l’un des mécanismes prévus dans le cadre de la notion de responsabilité, permettant aux responsables de traitement de se mettre en conformité et de démontrer que des mesures appropriées ont été prévues pour assurer cette conformité au règlement. Le non-respect de l’obligation de réaliser une analyse d’impact est passible, pour l’organisme fautif, d’une amende administrative pouvant s’élever à 10 millions d’euros ou 2% de son chiffre d’affaires mondial de l’année précédente.

    - Lignes directrices relatives au délégué à la protection des données
Ces lignes directrices détaillent les conditions de désignation d’un délégué à la protection des données (DPD ou DPO - data protection officer), ainsi que le rôle et les missions du DPO. La notion et les fonctions du délégué à la protection des données sont prévues aux articles 37 à 39 du règlement européen.

Dans le cadre de l’obligation générale de conformité au RGPD, certains organismes - responsables de traitement et sous-traitants, devront nommer un délégué à la protection des données. Bien que ce concept ne soit pas nouveau (cf le correspondant informatique et libertés - CIL, en France), la désignation d’un DPO n’était pas obligatoire en vertu de la directive de 1995.

Le DPO permet aux organismes d’assurer leur conformité au règlement européen (fonctions d’audit par exemple, de relais entre les différents départements de l’entreprise, avec les autorités de contrôle, et avec les personnes concernées). En revanche, comme le CIL, le DPO ne peut être tenu responsable en cas de non-conformité de l’organisme à la règlementation. Le responsable de traitement, ou le sous-traitant, reste responsable de la conformité au règlement et à sa mise en oeuvre.

    - Lignes directrices sur le droit à la portabilité des données
Ces lignes directrices définissent la notion de droit à la portabilité des données, identifient les principaux éléments de ce nouveau droit, identifient les situations quand ce droit doit s’appliquer, définissent comment les règles relatives aux droits des personnes concernées s’appliquent au droit à la portabilité des données, et enfin, définissent comment les données doivent être communiquées.

Le droit à la portabilité des données est prévu à l’article 20 du règlement européen. Contrairement au droit d’accès, prévu dans la directive de 1995, ce nouveau droit permet aux personnes concernées de recevoir les données fournies au responsable de traitement, dans un format structuré et lisible par la machine et de transmettre ces données à un nouveau responsable de traitement. Le droit à la portabilité des données sera utilisé en cas de passage d’un fournisseur à un autre, mais pas uniquement.

    - Lignes directrices sur l’autorité du chef de file
Le règlement européen crée la notion d’autorité de contrôle chef de file, pour les traitements de données transfrontaliers.

Ces lignes directrices permettent d’identifier l’autorité chef de file compétente pour les traitements de données transfrontaliers, notamment lorsque le lieu de l’établissement principal du responsable de traitement est différent de son siège européen, lorsque plusieurs sociétés sont concernées au sein d’un groupe, ou lorsqu’il y a plusieurs responsables de traitement conjoints. La situation des sous-traitants est également abordée. 

D’autres lignes directrices sont en cours d’élaboration : lignes directrices sur la certification, lignes directrices concernant la notification de violations de données personnelles, lignes directrices sur le consentement des personnes, enfin lignes directrices sur le profilage.


                                                                * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(2) Voir site de la CNIL

(3) Lignes directrices disponibles, en anglais, sur le site de la CNIL : Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ; Guidelines on Data Protection Officers (“DPOs”) ; Guidelines on the right to data portability ; Guidelines for identifying a controller or processor’s lead supervisory authority

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017