Voici la liste des articles publiés par notre cabinet.

Le 25 juin dernier, la CNIL a mis en demeure deux sociétés pour défaut de recueil du consentement des intéressés au traitement de leurs données, notamment de géolocalisation, à des fins de ciblage publicitaire  (délibérations 2018-022 et 2018-023).

La CNIL rappelle ainsi qu’elle entend contrôler strictement la licéité des traitements reposant sur le recueil du consentement des intéressés et apporte un éclairage complémentaire sur l’appréciation de la qualité du responsable de traitement, ici reconnue au profit de sociétés spécialisées dans l’adressage de publicités ciblées pour le compte d’enseignes partenaires.

Les faits:

La CNIL a effectué des missions de contrôle auprès de deux sociétés qui avaient développé une activité permettant de collecter des données personnelles des utilisateurs de smartphones et de réaliser des campagnes de sollicitations ciblées sur leurs téléphones mobile en lien avec les enseignes partenaires à proximité. Un dispositif de géolocalisation intégré aux applications mobiles avait été mis en place à cet effet.

Après avoir qualifié les sociétés concernées de responsable de traitement en raison de leur rôle actif dans la détermination des finalités et des moyens des traitements et de ce qu’elles utilisent pour leur propre compte des données ainsi obtenues à des fins de ciblage, la CNIL a reconnu le manquement de base légale de ces traitements.

L’absence de base légale en raison du défaut de consentement conforme.

Le consentement ayant été invoqué par les sociétés comme base légale des traitements de données personnelles ainsi opérés, la CNIL a considéré que celui-ci faisait défaut.

  • Le consentement n’était ni informé, ni libre, ni spécifique

La CNIL a relevé que les utilisateurs de l’application mobile des partenaires n’avaient été informés, ni du traitement mis en œuvre à des fins de ciblage publicitaire, ni de l’identité du responsable de traitement.

Elle a en outre considéré que les utilisateurs ne disposaient pas de la liberté d’y consentir librement en ce que le traçage n’était pas dissociable de l’utilisation des applications partenaires.

Qu’enfin, le recueil du consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire n’était pas spécifique car intégré à l’installation des applications mobiles des partenaires.

Pour ces raisons, la CNIL a considéré ce consentement non conforme et par voie de conséquence le traitement dépourvu de base légale.

 

Nos préconisations

Le consentement doit correspondre à « une manifestation de volonté libre, spécifique, éclairée et univoque».

Ainsi, si votre traitement a pour base légale le consentement des personnes concernées, veillez tout particulièrement à ce qu’il soit:

  • Informé: Par une information complète en amont du traitement des données (exhaustivité des finalités envisagées, identité du responsable de traitement, des catégories de données collectées, de l’éventuel transfert des données hors de l’Union européenne et droit de le retirer à tout moment).

Cette information doit être claire, compréhensible et aisément accessible. Plus le traitement est complexe, ce qui était le cas en l’espèce, plus les informations doivent être précises, ce qui n’était pas le cas.

  • Libre: Un refus de consentement ne doit pas avoir d’incidence sur l’exécution d’un contrat ou la fourniture d’un service. La liberté de choix de l’intéressé implique qu’il n’est pas influencé Ainsi, son consentement n’est pas libre si son refus de consentir le limite dans l’utilisation du dispositif ou en cas de déséquilibre manifeste entre l’intéressé et le responsable de traitement.
  • spécifique: Le consentement ne doit pas être recueilli de manière générale et doit porter sur chacune des finalités envisagées de manière distincte. Son recueil doit être opéré distinctement d’autres éventuelles questions.

 

  

En complément :

  • Le consentement implique un acte positif et univoque (case à cocher non pré-cochée)
  • Il doit pouvoir être retiré à tout moment et aussi simplement qu’il a été donné.
  • Attention, si le traitement repose sur cette seule base légale, il ne sera plus licite à compter du retrait de consentement.
  • Constituez-vous des preuves, en documentant toutes les mentions d’informations, en procédant à un recueil de consentement par écrit et en conservant les traces de l’acceptation.
  • Le consentement requis auprès de mineurs en deçà de 16 ans (15 ans en France) doit être accompagné, voire remplacé pour les moins de 13 ans, par celui du titulaire de l’autorité parentale. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données.
  • Le consentement, fondement de la licéité de traitement, est à distinguer du consentement explicite dans le cas de collecte de données sensibles.

 

Claudia Weber, Avocat Fondateur & Odile Jami-Caston, Directrice du Pôle "Protection des données personnelles"

Peu de temps après la sanction de OPTICAL CENTER à payer une amende de 250 000 euros pour une atteinte à la sécurité des données, c’est au tour de la plateforme d’hébergement de contenus vidéos Dailymotion d’être sanctionnée par la CNIL pour une atteinte à la sécurité des données de ses utilisateurs.

L’amende appliquée à DAILYMOTION fut de 50 000 euros. Moins lourde, elle reste révélatrice de la particulière vigilance à adopter quant à la sécurité des données à caractère personnel.

Les faits

Fin de l’année 2016, un article de presse révélait que Dailymotion était victime d’une importe fuite de données à caractère personnel, conduisant la CNIL a effectuer un contrôle de la plateforme.  

Dailymotion se défendait en évoquant un « problème de sécurité externe » et que les « mots de passe d’un certain nombre de comptes pourraient avoir été compromis » tout en précisant que « le hack semble être limité et ne concernait aucune donnée personnelle ».

Pourtant, il s’agissait d’une fuite de 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés ;représentant donc une fuite massive de données à caractère personnel qui permet aux hackers d’accéder aux comptes des utilisateurs et aux informations personnelles qui s’y trouvent.

La sanction

Cette sanction apparait cependant faible si nous la comparons à celle subie par OPTICAL CENTER. Quelle en est la raison ? La CNIL explique cette sanction en évoquant le contexte particulier des faits.

Tout d’abord, le fait que Dailymotion ait fait preuve de coopération dans le cadre de cette fuite, notamment en prenant immédiatement des mesures « afin d’atténuer les effets négatifs ». Quant aux données piratées à proprement dit, la CNIL précise dans sa décision que « les seules données à caractère personnel concernées sont des adresses de courriers électroniques dont une partie n’est pas identifiante car non associées à des personnes physiques mais à des comptes test ou à des noms de sociétés partenaires ».

La CNIL observe donc que ces éléments concourent « à diminuer le risque d’atteinte à la vie privée des personnes concernées ».

Nos recommandations

Une telle attaque subie, bien que sophistiquée comme le rappelle la CNIL en ce qui concerne Dailymotion, peut être évitée si les mesures en matière de sécurité sont mises en place en amont et respectées.

La CNIL précise en effet dans son communiqué que :

  • la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur

Dans cette situation, la CNIL considère en effet qu’un mot de passe qui permet de s’authentifier sur un système ne doit pas être divulgué comme c’était le cas en l’espèce. Il est recommandé de limiter l’accès à un mot de passe, en particulier en évitant de le stocker dans un fichier non protégé.

A retenir pour l’authentification des utilisateurs :

  • privilégier l’authentification forte
  • ne pas stocker les mots de passe dans un fichier en clair
  • limiter le nombre de tentatives d’accès
  • prévoir un renouvellement du mot de passe selon une période pertinente et raisonnable
  • stocker les mots de passe de façon sécurisée
  • encadrer les connexions à distance au réseau informatique interne par un système de filtrage des adresses IP ou un réseau privé virtuel (VPN)

A retenir pour la protection de son réseau informatique interne :

  • limiter les accès interne en bloquant les services non nécessaires
  • gérer les réseaux Wi-Fi qui doivent utiliser un chiffrement à l’état de l’art (WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne
  • prévoir un VPN pour l’accès à distance avec, si possible, une authentification forte de l’utilisation (exemple utilisez un générateur de mots de passe)
  • s’assurer qu’aucune interface d’administration n’est accessible directement depuis internet
  • limiter les flux réseaux au strict nécessaire

 

Les recommandations devant être mises en œuvre pour prévenir les atteintes à la sécurité des données sont consultables sur le guide de la sécurité des données à caractère personnel publié par la CNIL, faisant suite au renforcement des obligations des responsables de traitement avec l’application du Règlement général sur la protection des données (RGPD).

 

Claudia Weber, Avocat Fondateur & Eugénie Richard, Avocat

Le principe d’équivalence de l’envoi par lettre recommandée électronique (LRE) à l’envoi par lettre recommandée papier n’est pas nouveau en droit français.

Initialement prévu par l’Ordonnance du 16 juin 2005 (créant l’article 1369-8 du code civil), puis précisé par le Décret n°2011-144 du 2 février 2011 et le Décret n° 2011-434 du 20 avril 2011, ce principe a fait peau neuve grâce à la Loi pour une République Numérique du 7 octobre 2016 (LRN) dont l’applicabilité de l’encadrement de la LRE dépendait de la publication d’un décret d’application.

C’est désormais chose faite avec la publication du décret n°2018-347 du 9 mai 2018.

Ce décret, qui entrera en vigueur le 1er janvier 2019, fixe les modalités d’application de l’article 93 de la LRN, qui vise à garantir le principe d’équivalence précité et à unifier les règles régissant l’utilisation de la LRE, désormais encadrée par le seul article L-100 du code des postes et des communications électroniques (CPCE).

L’avènement d’un nouveau régime unifié

L’envoi de lettres recommandées électroniques n’est plus cantonné au cadre des relations contractuelles, l’article 93 de la LRN ayant abrogé l’article 1127-5 du code civil qui disposait : « Une lettre recommandée relative à la conclusion ou à l'exécution d'un contrat peut être envoyée par courrier électronique à condition que (…) ».

A compter du 1er janvier 2019, l’envoi d’une lettre recommandée électronique sera, pour toutes ses potentielles utilisations, équivalent à un envoi réalisé par recommandé papier.

Une limite importante à cette utilisation subsiste néanmoins : lorsque le destinataire n’est pas un professionnel, l’expéditeur devra recueillir le consentement préalable du destinataire à la réception d’une lettre recommandée sous forme électronique.

Il est également à noter que les envois de lettres recommandées effectuées en application de l’ancien régime restent régis par les dispositions du Décret n°2011-144 du 2 février 2011.

Un renvoi aux normes européennes

Dans la lignée du décret d’application relatif à la signature électronique (n° 2017-1416 du 28 septembre 2017), le nouveau décret du 9 mai 2018 (créant les articles 53-1 à 53-4 du CPCE) renvoie directement, s’agissant des critères fiabilité et de validité du dispositif de LRE, aux exigences du Règlement Européen 910/2014 du 23 juillet 2014 dit « Règlement e-IDAS » (en particulier son article 44) ainsi qu’à celles du règlement d’exécution 2015/1502 du 8 septembre 2015.

Le droit français laisse ainsi le soin à ces deux textes européens de définir les obligations pesant sur les prestataires de LRE en matière de vérification d’identité, de preuve du dépôt et d’information du destinataire de la LRE.

Vérification d’identité

A partir du 1er janvier 2019, la vérification de l’identité de l'expéditeur et celle du destinataire devront être assurées par le prestataire de lettre recommandée dans les conditions prévues par ce même Règlement e-DIAS.

Postérieurement à cette identification, le Prestataire pourra leur attribuer un moyen d'identification électronique que ces derniers utiliseront pour attester de leur identité à chaque envoi ou réception.

Preuve du dépôt

Ce même prestataire doit délivrer à l'expéditeur une preuve du dépôt électronique de l'envoi, qu’il devra conserver pendant un an. La preuve de dépôt comporte les informations suivantes :

  • Le nom et le prénom ou la raison sociale de l'expéditeur, ainsi que son adresse électronique ;
  • Le nom et le prénom ou la raison sociale du destinataire ainsi que son adresse électronique ;
  • Un numéro d'identification unique de l'envoi attribué par le prestataire ;
  • La date et l'heure du dépôt électronique de l'envoi indiquées par un horodatage électronique qualifié tel que défini par l'article 3 du Règlement e-IDAS ;
  • La signature électronique avancée ou le cachet électronique avancé tels que définis par l'article 3 du Règlement e-IDAS utilisé par le prestataire de services qualifié lors de l'envoi.

Information du destinataire

Le prestataire de LRE informe le destinataire, par voie électronique, qu'une LRE lui est destinée et qu'il a la possibilité, pendant un délai de quinze jours à compter du lendemain de l'envoi de cette information, d'accepter ou non sa réception.

Le destinataire n'est pas informé de l'identité de l'expéditeur.

En cas d'acceptation par le destinataire de la LRE, le prestataire procède à sa transmission.

Le prestataire conserve une preuve de la réception par le destinataire des données transmises et du moment de la réception, pour une durée qui ne peut être inférieure à un an. Cette preuve comporte notamment la date et l'heure de réception de l'envoi, indiquées par un horodatage électronique qualifié.

En cas de refus de réception ou de non-réclamation par le destinataire, le prestataire met à disposition de l'expéditeur, au plus tard le lendemain de l'expiration du délai de quinze jours, une preuve de ce refus ou de cette non-réclamation. Là encore, cette preuve précise notamment la date et l'heure du refus telles qu'indiquées par un horodatage électronique qualifié.

Le prestataire conserve la preuve de refus ou de non-réclamation du destinataire pour une durée qui ne peut être inférieure à un an.

Recours de l’expéditeur

En cas de retard dans la réception ou en cas de perte des données, la responsabilité du prestataire peut être engagée, mais les indemnités susceptibles d’être mise à sa charge ne pourront excéder la somme de 16 euros (article R2-1 du CPCE).

 

Claudia Weber, Avocat Fondateur & Arthur Poirier, Avocat

L’autorité de contrôle évoque le nouveau cadre légal en place, notamment par la modification de la loi Informatique et Libertés et de son décret d’application, dont la lisibilité sera améliorée par une ordonnance qui devrait arriver dans les six mois.

Les professionnels, conscients de leurs nouvelles obligations

Du côté des professionnels, les obligations sont bien comprises et les démarches de mise en conformité progressives. La première étape étant la mise en place d’une gouvernance « Informatique et libertés », la CNIL dresse le constat de la nomination de DPO au sein de 24 500 organismes, soit 13 000 DPO (seulement 5 000 correspondants informatique et libertés désignés jusqu’alors).   

S’agissant de la sécurité des données, la CNIL a reçu, à ce jour, 600 notifications de violations de données. Un constat qui doit alerter sur la nécessité de mettre en place des mesures appropriées de sécurité.

Les professionnels sont de plus en plus nombreux à prendre contact avec la CNIL qui relève plus de 45% d’appels téléphoniques sur les 7 premiers mois de 2018 et plus de 83% de consultations en ligne. Un volume important de demandes d’autorisation dans le secteur de la santé est aussi à noter.

Enfin, le site de la CNIL a vu son trafic fortement augmenter (3 millions de visites depuis mai 2018), notamment pour accéder aux outils de conformité qu’elle met à disposition du public (son modèle de registre simplifié a été téléchargé 150 000 fois).

Les particuliers, conscients de leurs droits

La CNIL a constaté une « prise de conscience inédite » des personnes concernées par les traitements s’agissant des nouveaux droits qui leur sont conférés. Ceux-ci n’hésitent pas à saisir la CNIL de plaintes (64% en plus par rapport à la même période en 2017), la forte médiatisation autour de l’entrée en application du RGPD et de certaines affaires liées à la confidentialité des données, notamment sur les réseaux sociaux, étant vraisemblablement à l’origine de cette recrudescence. Enfin, plus de 200 plaintes transfrontalières sont traitées actuellement, elles portent, pour la plupart, sur le consentement des mineurs. Mais ce sont aussi des organismes qui ont saisi la CNIL de plaintes collectives.

Les « CNIL » européennes coopèrent de manière engagée

Depuis mai 2018, le Contrôleur européen de la protection des données (CEPD), qui remplace le G29 dont la mission est de coordonner l’action des différentes autorités de contrôle nationales, a défini 18 lignes directrices, sept supplémentaires étant en cours d’élaboration. La CNIL lui a transmis la « liste des traitements devant faire l’objet d’une analyse d’impact » qui sera publiée ultérieurement de sorte à permettre aux responsables de traitement d’identifier les traitements à risques et de savoir s’ils sont soumis ou non à cette l’obligation.

De nouveaux outils proposés par la CNIL à venir

La CNIL annonce enfin de nouveaux outils de régulation, parmi lesquels trois référentiels (gestion clients et prospects, ressources humaines et vigilances sanitaires) qui seront soumis à concertation auprès des professionnels concernés et, pour certains, portés par la CNIL au niveau européen. Sont aussi attendus, un règlement-type portant sur la biométrie, une procédure de certification « DPO », l’adaptation de plusieurs packs de conformité, plusieurs codes de conduite, un MOOC pédagogique et de nouvelles fiches pratiques.

Autant d’outils destinés à réussir au mieux sa mise en conformité au RGPD !

 

Claudia WEBER, Avocat Fondateur & Eugénie Richard, Avocat

ITLAW Avocats

 

Le 24 septembre 2018, la CNIL a publié ses premiers éléments d’analyse sur le RGPD et son application à la Blockchain. (voir le texte ici )

 

  • La Blockchain et ses principes

La CNIL définit la Blockchain comme « une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l'ensemble des utilisateurs, depuis sa création ».

En résumé, la Blockchain permet à des participants de créer une transaction qu’ils vont ensuite soumettre à la validation des « mineurs », qui vont créer des blocs conformes aux règles de la Blockchain afin qu’ils soient acceptés par la communauté.

Comme l’indique le rapport, la Blockchain comporte les quatre principes suivants : transparence, décentralisation, irréversibilité et désintermédiation.

La Blockchain est donc avant tout une technologie qui permet de réaliser des traitements d’une très grande diversité. Le RGPD est également applicable au traitement réalisé par le biais de la Blockchain.

  • La qualification des acteurs

La décentralisation liée à la Blockchain a conduit la CNIL à considérer que chaque participant qui a la possibilité de créer une écriture, doit être considéré comme étant responsable de traitement dès lors qu’il

  • est une personne physique et que le traitement est en lien avec son activité professionnelle ou commerciale ; ou
  • est une personne morale.

Les « mineurs », c’est-à-dire les personnes habilitées à valider une transaction et à créer les blocs, pourraient selon la CNIL, être considérés comme des sous-traitants dans la mesure où ils ne font que « valider » des transactions, donc ils exécutent les instructions des participants, responsables de traitement.

Lorsqu’un groupe de participants décident de mettre en œuvre un traitement, ils sont susceptibles d’être qualifiés de responsables conjoints. La CNIL recommande d’identifier préalablement le responsable de traitement (un participant désigné par les autres ou une personne morale créée à cet effet (GIE, association, etc..).

  • Les données personnelles concernées

La CNIL a reçu de nombreuses demandes relatives à la mise en œuvre de traitement utilisant la Blockchain. Elle a pu constater que majoritairement deux catégories de données à caractère personnel étaient concernées :

  • l’identifiant des participants et des « mineurs », élément indispensable pour permettre l’authentification des acteurs,
  • des données diverses inscrites dans une transaction et qui dépendent de l’usage de la Blockchain (diplôme, titre de propriété).
  •  Les obligations

Lorsque la Blockchain concerne des données personnelles, le RGPD s’applique.

Aussi et avant d’utiliser cette technologie, la CNIL rappelle qu’il convient notamment de :

  • Privacy by design : prendre des mesures appropriées pour tenir compte de la protection des données dans les projets impliquant la Blockchain depuis leur origine ;
  • encadrer contractuellement le traitement : respecter l’article 28 du RGPD sur la sous-traitance, anticiper les possibles transferts de données à l’international ;
  • respecter le principe d’accountability: les sous-traitants et les responsables de traitement doivent être en mesure de démontrer le respect des obligations posées par le RGPD ;
  • mettre en œuvre les mesures de sécurité adaptées au risque ;
  • réaliser une étude d’impact relative à la protection des données pour analyser la nécessité et la proportionnalité du dispositif et identifier, le cas échéant, les cas pour lesquels d’autres solutions sembleraient plus adaptées ;
  • respecter les droits des personnes concernées : la Blockchain semble permettre de faire droit à une demande d’accès ou de portabilité. En ce qui concerne les droits à l’effacement, de rectification et d’opposition au traitement, la CNIL indique que certaines solutions technologiques, permettraient de se rapprocher des exigences de conformité du RGPD, mais que leur conformité mérite d’être évaluée.  Enfin, des interrogations subsistent, tel le cas des droits des personnes concernées.

 

Claudia Weber, Avocat Fondateur & Pauline Vital, Avocat

ITLAW Avocats

www.itlaw.fr