La Commission nationale de l’informatique et des libertés a ajusté ses lignes directrices sur les cookies et autres traceurs par une délibération du 17 septembre 2020.

Une première recommandation relative aux cookies et autres traceurs avait été adoptée par la Cnil le 5 décembre 2013.

Celle-ci était cependant devenue obsolète à la suite de l’entrée en application du Règlement européen sur la protection des données (RGPD), qui est venu renforcer les exigences en matière de validité du consentement.

Adoption de nouvelles règles relatives aux cookies et autres traceurs

La Cnil a alors adopté, le 4 juillet 2019, de nouvelles lignes directrices présentant le droit applicable en matière de cookies et autres traceurs.

Dans une décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel ces lignes directrices relatives aux cookies et autres traceurs. En revanche, il a considéré que la Cnil ne pouvait légalement interdire dans ses lignes directrices les « cookie walls » (pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies)  (1).

Pour le Conseil d’Etat, il s’agit d’un acte de droit souple, c’est-à-dire d’un acte qui ne crée pas d’obligation juridique mais qui a pour simple objet d’influer sur les pratiques des opérateurs économiques.

En conséquence, la Cnil a ajusté ses lignes directrices sur les cookies et autres traceurs par une délibération du 17 septembre 2020.

En parallèle, la Cnil a également établi, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation ayant pour objectif de guider les professionnels concernés sur les modalités concrètes de recueil du consentement de l’internaute aux cookies et autres traceurs, sans qu’elle ne soit prescriptive.

La Cnil a adopté la version définitive de cette recommandation par une délibération du 17 septembre 2020.

Dans ses lignes directrices et sa recommandation de septembre 2020, la Cnil a confirmé plusieurs grands principes.

Recueil du consentement aux cookies et autres traceurs

S’agissant des modalités de recueil du consentement des utilisateurs, la Cnil considère que :

• la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute. Cette évolution notable découle de l’entrée en application du RGPD, qui impose désormais un consentement univoque de l’internaute ;
• les personnes doivent consentir au dépôt de traceurs par un acte positif clair (par exemple en cliquant sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du site ne pourra être déposé sur leur appareil.

La Cnil précise qu’un site web ne peut renvoyer au paramétrage du navigateur pour collecter le consentement de l’utilisateur. En effet, elle estime qu’en l’état de l’art, les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide.

Retrait du consentement

La Cnil exige que les utilisateurs soient en mesure de retirer leur consentement, facilement, et à tout moment.

En pratique, elle recommande que le module de gestion des consentements soit aisément accessible à l’utilisateur, par exemple :

• par la mise à disposition d’un lien accessible à tout moment portant une dénomination descriptive telle que « gérer mes cookies » ; ou
• grâce à un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône statique « cookie » (située par exemple en bas à gauche de l’écran).

Refus du dépôt des cookies et autres traceurs

Conformément aux lignes directrices de la Cnil, refuser les traceurs doit être aussi aisé que de les accepter.

Pour la Cnil, lorsqu’un seul clic est requis pour « accepter les cookies » tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé.

Ainsi, elle recommande que l’interface de recueil du consentement comprenne un bouton « tout accepter » mais aussi un bouton « tout refuser ». A défaut, l’internaute doit être clairement informé des moyens dont il dispose pour refuser les traceurs, notamment lorsque ces moyens sont moins explicites (silence de l’utilisateur, poursuite de sa navigation sans cliquer sur aucune option proposée par la bannière cookie, etc.).

Conservation des choix de l’utilisateur

Dans sa recommandation, la Cnil rappelle qu’en principe, il est nécessaire de conserver les choix exprimés par l’utilisateur, qu’il s’agisse de son consentement ou de son refus, pendant une certaine durée afin de ne pas le réinterroger à chacune de ses visites.

La durée de conservation des choix s’apprécie au cas par cas (au regard de la nature du site web ou de l’application concernée et des spécificités de son audience). Généralement, une conservation des choix pendant une durée de six mois constitue une bonne pratique.

Portée du consentement

L’utilisateur doit être conscient de la portée de son consentement, Aussi, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement doit être recueilli sur chacun des sites concernés.

Information des personnes 

Avant de consentir aux cookies et autres traceurs, les utilisateurs doivent être informés :

• de l’identité de tous les acteurs utilisant des traceurs soumis au consentement (la liste de ces acteurs devant être exhaustive et tenue à jour) ;
• des finalités des traceurs ;
• de la manière d’accepter ou de refuser les traceurs ;
• des conséquences qui s’attachent à une acceptation ou un refus des traceurs (notamment en cas de mise en place de « cookie walls ») ;
• de l’existence du droit de retirer son consentement.

Preuve du consentement

Les organismes exploitant des traceurs doivent pouvoir fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

« Cookie walls »

La Cnil estime que la mise en œuvre d’un « cookie wall » est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement.

Ainsi, la licéité du recours à un « cookie wall » s’apprécie au cas par cas. En tout état de cause, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au site en l’absence de consentement.

Exemption du consentement aux cookies et autres traceurs

Pour certains traceurs, le recueil de consentement n’est pas nécessaire. C’est le cas des traceurs destinés à :

• l’authentification auprès d’un service,
• garder en mémoire le contenu d’un panier d’achat sur un site marchand,
• générer des statistiques de fréquentation.

C’est aussi le cas des traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé.

Calendrier de mise en œuvre de la nouvelle règlementation

La Cnil accorde aux acteurs concernés un délai de six mois après la publication de ses nouvelles règles pour se mettre en conformité.

Ainsi, jusqu’en mars 2021, la Cnil va concentrer ses actions sur :

• le contrôle du respect des règles énoncées en 2013 et
• l’accompagnement de la mise en place des nouvelles lignes directrices.

À l’issue de cette période, la Cnil contrôlera pleinement l’application des nouvelles règles.

Malgré cette période d’adaptation, la Cnil, conformément à la jurisprudence du Conseil d’État, peut, à tout moment, poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée.

Virginie Bensoussan-Brulé
Marion Catier & Tess Muckensturm
Lexing Contentieux numérique

(1) Cf. E. Walle, I. Pottier, « Cookies et autres traceurs : annulation partielle des lignes directrices de la Cnil »,  publié le 07/08/2020.

Le CEPD, Comité européen de la protection des données, publie ses lignes directrices sur les notions de responsable du traitement et sous-traitant.

Lignes directrices sur les notions de responsable du traitement et de sous-traitant

Le 2 septembre 2020, le Comité Européen de la Protection des Donnée (CEPD) a publié ses très attendues Lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant (1).

Ces lignes directrices sont ouvertes à consultation publique jusqu’au 19 octobre 2020 et apportent des précisions sur les notions de responsable du traitement et de sous-traitant au sens du Règlement général sur la protection des données 2016/679 du 27 avril 2016 (RGPD).

Notions de responsable du traitement et de sous-traitant : notions clés de l’application du RGPD

Le responsable du traitement est défini comme toute personne physique ou morale, autorité publique, service ou organisme qui détermine, seul ou conjointement, les finalités et les moyens du traitement de données personnelles (RGPD, art. 4-7). Cette définition envisage dès lors la coresponsabilité de traitement.

Le sous-traitant est quant à lui défini comme toute personne physique ou morale, autorité publique, service ou organisme qui traite les données personnelles pour le compte du responsable du traitement (RGPD, art. 4-8).

Ces notions sont déterminantes pour appréhender l’application du RGPD, et notamment car elles sont des concepts fonctionnels visant à répartir les responsabilités entre les acteurs impliqués, comme le précise le CEPD.

La multiplicité des intervenants dans les traitements de données personnelles et le recours à de multiples outils rendent particulièrement complexe la qualification des acteurs. Ces notions de responsable du traitement et de sous-traitant, bien que déterminantes, sont de plus en plus difficiles à appréhender et à manier en pratique.

Responsable du traitement et sous-traitant : notions complexes à appréhender

Le Groupe de travail « Article 29 » sur la protection des données (« G29 »), remplacé par le CEPD (institué par le Règlement Général sur la Protection des Données 2016/679 du 27 avril 2019), avait déjà adopté un avis 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant » le 16 février 2010 au sens de la Directive 95/46/CE.

Ces notions de responsable du traitement et de sous-traitant, et les obligations qui en découlent, ont depuis évolué avec l’entrée en application du RGPD, qui a notamment apporté des précisions sur ces dernières, tout en créant de nouvelles obligations à la charge des responsables du traitement et des sous-traitants.

La Cour de justice de l’Union européenne (CJUE) s’est elle aussi prononcée sur l’interprétation de ces notions et notamment sur celle de responsables conjoints du traitement (2).

La publication de ces lignes directrices s’inscrit donc dans ce contexte et répond à un besoin de clarification.

Les précisions sur les critères de qualification

Les lignes directrices apportent des précisions et illustrations sur les critères de qualification de responsable du traitement, de responsables conjoints du traitement et de sous-traitant.

Concernant la notion de responsable du traitement

Le CEPD précise et illustre les éléments « essentiels » concernant le traitement, qui doivent être déterminés par le responsable du traitement. Il s’agit notamment des moyens « essentiels du traitement » qu’il détermine (par exemple, le type de données personnelles traitées ou la durée du traitement) à distinguer des moyens « non-essentiels » du traitement, que le sous-traitant peut déterminer seul (par exemple, le logiciel à utiliser pour traiter les données).

Le CEPD précise également les éléments à prendre en compte pour identifier le responsable du traitement. Ces éléments peuvent être des dispositions légales ou peuvent consister en une analyse factuelle et circonstancielle du traitement.

Par exemple, et concernant les dispositions légales, la législation d’un État membre prévoyant que les autorités municipales fournissent des prestations sociales aux administrés selon leur situation financière implique nécessairement que les autorités municipales collectent des données personnelles des administrés relatives à leur situation financière. Dès lors, ces autorités municipales sont responsables du traitement des données financières des administrés.

Concernant, l’identification du responsable du traitement au travers d’une analyse factuelle et circonstancielle, cela peut se faire par l’identification des rôles traditionnels des acteurs impliqués dans le traitement. Par exemple, le traitement de données relatives aux salariés d’une entreprise par l’employeur implique généralement que l’employeur soit responsable dudit traitement du fait de son rôle.

Enfin, le CEPD illustre le fait qu’une entité peut être responsable du traitement sans accéder aux données traitées. C’est par exemple le cas lorsqu’une entité fait appel à un prestataire pour l’élaboration de statistiques, même si cette entité n’accède pas aux données personnelles, dès lors qu’elle détermine les finalités et les moyens du traitement à des fins d’élaboration de statistiques et que les données initialement traitées sont des données personnelles.

Concernant les responsables conjoints du traitement

Le CEPD illustre le fait qu’une telle responsabilité peut résulter d’une décision commune prise par les acteurs impliqués ou de plusieurs décisions convergentes de différents acteurs (le CEPD précise à ce sujet que le traitement de données personnelles ne serait pas possible sans la participation des deux parties concernant tant la détermination des moyens que des finalités).

Enfin, en ce qui concerne les sous-traitants…

Le CEPD apporte notamment des précisions sur le fait que le sous-traitant peut bénéficier d’une marge de manœuvre en ce qui concerne la détermination des moyens techniques et organisationnels du traitement dès lors qu’il s’agit de moyens « non-essentiels ».

Outre ces précisions et illustrations permettant de faciliter l’identification du rôle de chaque acteur, le CEPD se prononce sur les relations entre ces acteurs et leurs implications contractuelles.

Les précisions sur les implications contractuelles

Les lignes directrices apportent notamment des indications concernant les éléments que le responsable du traitement doit prendre en compte pour choisir un sous-traitant.

Il apporte aussi des précisions sur les mentions contractuelles à intégrer au contrat liant le responsable du traitement au sous-traitant (RGPD, art. 28), et notamment en précisant que le contrat ne doit pas uniquement reprendre les dispositions du RGPD mais qu’une adaptation à chaque situation est nécessaire. Le CEPD illustre en outre chaque mention à inclure dans ce contrat. À titre d’exemple, pour la durée du traitement, la durée exacte du traitement de données ou les critères utilisés pour déterminer cette durée doivent être mentionnés au contrat, cette durée pouvant être calquée sur la durée du contrat conclu. Cependant, le CEPD précise que la durée du traitement n’est pas nécessairement équivalente à la durée du contrat dès lors que des durées légales de conservation des données (plus ou moins longues que la durée du contrat concerné) s’appliquent.

Enfin concernant la formalisation de l’accord de coresponsabilité entre les responsables conjoints du traitement et définissant leurs obligations respectives (RGPD, art. 26), le CEPD recommande que cet accord prenne la forme d’un acte contraignant, tel qu’un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre.

Si les lignes directrices donnent de nombreux exemples pour aider à la qualification des acteurs, ces notions restent difficiles d’appréhension et doivent, pour les cas complexes, faire l’objet d’une analyse au cas par cas. Reste à attendre si les apports de la consultation publique et la version finale des lignes directrices qui sera adoptée par le CEPD apporteront un peu plus de clarté.

Anne Renard
Sarah Squercioni
Lexing Conformité et certification

(1) Guidelines 07/2020 on the concepts of controller and processor in the GDPR
(2) Voir par exemple :
– Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie, (Affaire C- 210/16 du 05-06-2018)
– Tietosuojavaltuutettu v Jehovan todistajat — uskonnollinen yhdyskunta (Affaire C-25/17 du 10-07-2018)
– Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV (Affaire C-40/17 du 29-07-2019)

Alain Bensoussan évoque pour Travel On Move les conséquences pour les entreprises de l’invalidation du Privacy Shield.

La Cour de Justice de l’Union Européenne (CJUE) a invalidé le 16 juillet 2020 le Privacy Shied.

Cet accord avait pour objet d’organiser le transfert de données personnelles entre l’UE et les Etats-Unis.

• Quelles conséquences tirer de cette décision ?
• Que doivent faire les entreprises ?
• Quelles suites la Commission européenne donnera-t-elle à cette décision ?

Autant de questions abordées par Alain Bensoussan dans l’interview qu’il a accordée, le 3 septembre 2020, au journaliste Hugo Pellerin pour Travel On Move, le média du tourisme digital.

Morceaux choisis :

Invalidation du Privacy Shield : qu’est-ce que cela implique pour les sociétés européennes ?

« En l’absence, suite à cette invalidation du Privacy Shield, d’une décision d’adéquation de l’UE, le seul moyen d’exporter des données vers des pays tiers consiste, comme le prévoit également le RGPD, à signer des conventions de flux transfrontières ».

« L’annulation du Privacy Shield par la CJUE étant d’effet immédiat, les sociétés européennes qui souhaitent exporter des données personnelles vers les États-Unis sont dans l’obligation d’émettre de telles conventions ».

Les entreprises ont donc simplement à signer ces conventions ?

« Il n’est pas du tout évident que cela règle la problématique posée par la décision de la CJUE ».

« Il s’agit en réalité moins d’une problématique de protection des données que d’une problématique régalienne ».

La question est de savoir « ce que peuvent ou ne peuvent pas faire les États-Unis sur les données des ressortissants européens ».

Quelles solutions pour les entreprises ?

« Aujourd’hui (…) il ne semble tout simplement plus possible d’exporter en l’état de données vers les États-Unis ».

« Compte tenu des risques induits par le RGPD (…) un principe de prudence invite à proscrire tout transfert de données vers les États-Unis ».

L’UE et les États-Unis travaillent-ils à un nouvel accord ?

La renégociation de l’accord « Privacy Shield » est en cours. Ceci afin de permettre aux entreprises de transférer légalement les données personnelles de citoyens européens aux États-Unis.

Pendant l’été, les Etats Unis ont annoncé que des négociations étaient en cours avec la Commission européenne en vue d’un nouveau Privacy Shield. Début septembre, le commissaire européen à la justice Didier Reynders a toutefois indiqué que les enjeux politiques du sujet et l’imminence des élections américaines risquaient de retarder les négociations.

Le régulateur irlandais de protection des données aurait d’ores et déjà, selon le Wall Street Journal, enjoint à Facebook de stopper tous transferts de données de ses utilisateurs vers les Etats Unis.

Eric Bonnet
Directeur de la communication juridique
Avocat, Lexing Alain Bensoussan Avocats

« Privacy Shield : ‘‘Par prudence il faudrait interdire tout transfert de données vers les États-Unis’’ », par Hugo Pellerin pour TOM, Travel On Move, le média du tourisme digital, le 3 septembre 2020.

La Cnil a publié un guide destiné à présenter aux responsables de traitement la démarche à suivre lors d’une demande de tiers autorisé.

Qu’est-ce qu’un tiers autorisé ?

La Cnil précise la notion de tiers autorisé dans son guide pratique. Les tiers autorisés sont des autorités et des organismes habilités, par des dispositions législatives, à ordonner à un responsable de traitement le transfert de documents ou de renseignements contenant des données à caractère personnel de personnes déterminées.

Les tiers autorisés obtiennent la communication de données à caractère personnel « dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre » au sens de l’article 4, 9 du RGPD.

Toutefois, chaque responsable de traitement est tenu de respecter son obligation d’assurer la sécurité des données à caractère personnel conformément aux articles 5, 1, f et 32 du RGPD.

Le guide de la Cnil a pour objectif de présenter à chaque responsable de traitement la démarche à suivre lors d’une demande émanant d’un tiers autorisé.

Pour répondre valablement à une demande de communication de données à caractère personnel de la part d’un tiers autorisé, le responsable de traitement doit procéder à trois vérifications :

• la demande provient d’un tiers autorisé ;
• la source et le périmètre de la demande ;
• la sécurisation de la communication.

La mise en œuvre de cette démarche permet à chaque responsable de traitement d’assurer la sécurité des données à caractère personnel, conformément aux exigences du RGPD.

1ère vérification : son origine, « la demande d’un tiers autorisé »

À titre liminaire, une demande de tiers autorisé peut prendre toute forme, sauf si le texte en cause en prévoit une spécifiquement.

Si la demande mentionne une disposition légale ou réglementaire, le responsable de traitement doit la vérifier.

Si elle ne le fait pas, le responsable de traitement doit demander au tiers autorisé la référence légale pour qu’il puisse procéder à cette vérification.

2ème vérification : la source et le périmètre de la demande

Avant d’accéder à la demande, une double vérification, pratique et juridique, est nécessaire. La vérification pratique a pour objet de s’assurer que la demande provient bien de l’autorité ou de l’organisme public mentionné. Elle permet d’éviter les fraudes. Quant à la vérification juridique, elle vise à contrôler que l’acteur émetteur est autorisé à exiger la communication des informations demandées

En premier lieu, afin de lever un éventuel doute concernant le tiers autorisé, plusieurs possibilités existent comme :

• effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration,
• vérifier que l’adresse postale communiquée correspond à celle diffusée par le tiers autorisé sur son site web
• vérifier que le nom de domaine de l’adresse de courrier électronique utilisée correspond à celui diffusé par le tiers autorisé
• recueillir toute information identifiant la personne se présentant dans les locaux aux fins de vérifier qu’elle appartient à l’organisme en question.

En second lieu, le responsable de traitement doit s’assurer du périmètre des données à caractère personnel transmises. Les informations qui seront transmises doivent effectivement être visées par les dispositions invoquées par le tiers autorisé. En outre, la transmission ne doit pas contenir plus de données à caractère personnel que celles demandées. Cette vérification permet de respecter le principe de minimisation énoncé à l’article 5, 1, b du RGPD.

La transmission des données à caractère personnel à des tiers autorisés pose par ailleurs la question du respect du secret professionnel. Celui-ci doit être opposé par le responsable de traitement à une demande provenant d’un tiers autorisé uniquement lorsqu’aucune disposition ne prévoit la levée d’un ou de plusieurs secrets professionnels.

Le responsable de traitement doit donc vérifier que les deux conditions suivantes sont réunies avant toute transmission de données à caractère personnel :

• la demande de communication de données à caractère personnel est-elle couverte par un secret professionnel ?
• si tel est le cas, la demande de communication provient-elle d’un organisme bénéficiant d’une disposition législative prévoyant la levée du secret professionnel concerné ?

3ème vérification : la sécurisation de la communication

Chaque responsable de traitement doit déterminer un canal de transmission des informations demandées entre lui et le tiers autorisé, et veiller à ce que les modalités de cette transmission en assurent la sécurité, notamment par un procédé de chiffrement, hachage, etc.

Pour aider les responsables de traitement dans leur démarche de vérification en cas de demande de tiers autorisé, la Cnil a recensé pour chaque procédure d’enquête (juridictionnelle, administrative, économique, sociale, travail et santé), le type de tiers autorisés, les objectifs et les conditions de la demande, la nature des informations transmissibles ainsi que les fondements juridiques.

Le refus de communication des données à la demande d’un tiers autorisé

Il est possible de refuser d’accéder à une telle demande, mais cela peut aboutir à l’engagement de la responsabilité du responsable de traitement.

Recommandation : Il est recommandé de documenter la gestion des demandes émanant de « tiers autorisés » et de diffuser cette documentation auprès des personnes en charge des demandes. Elle peut indiquer les premières actions à faire par tout agent à la réception d’une demande, faire mention de la nécessité d’une désignation d’un référent chargé de la prise en compte des demandes, comporter des éléments de sensibilisation des agents et des salariés, ou bien encore faire état des outils permettant de sécuriser la communication de données à caractère personnel (ex : outil de chiffrement, politique de mot de passe, etc.).

Anne Renard
Lucie Antigny
Lexing Conformité et certification

« Wikipédia en français, côté coulisses » : c’était le thème de l’émission Smart Tech du 20 juillet 2020 animée par Delphine Sabattier, à laquelle participait Marie Soulez sur la chaîne d’information économique & financière ‪B Smart.‬

Que faire quand une fiche wikipédia vous concernant contient des erreurs ? Pourquoi est-ce souvent si difficile de la faire corriger ? Quelles règles juridiques s’appliquent à l’incontournable encyclopédie en ligne ? Quel est son statut ?

Autant de questions au programme de l’émission animée par Delphine Sabattier le 20 juillet dernier sur B Smart TV intitulé « Wikipédia en français, côté coulisses », thème auquel la journaliste a d’ailleurs consacré un article dans le dernier numéro de magazine Society (D. Sabattier, L’âge bête de Wikipédia, Society, 9-22 juillet 2020, p. 12).

Wikipédia : collaboration collective et neutralité imposée

Comme l’explique Delphine Sabattier, en introduction du débat auquel participait également Rémy Gerbais, délégué oéprationnel de Wikimédia France, beaucoup des questions susvisées trouvent leur réponse dans le fait que « Wikipédia repose sur un principe à la fois de collaboration collective et de neutralité imposée ».

L’occasion pour Marie Soulez de décrypter les enjeux juridiques et les règles de droit applicables à l’incontournable encyclopédie collaborative.

Morceaux choisis :

Quelles sont les règles applicables à Wikipédia, et notamment au regard du droit des données à caractère personnel ? Selon Marie Soulez,

La réglementation sur les données personnelles s’applique à la fois au niveau des contributeurs mais également au niveau des personnes identifiées dans les publications. En tant qu’hébergeur de contenus, Wikipédia est tenu de conserver un ensemble de données permettant l’identification des personnes qui y contribuent ; en ce qui concerne les données apparaissant dans les publications, Wikipédia étant une encyclopédie à vocation d’information du public, un équilibre nécessaire est à trouver entre la préservation du droit à l’information et celui, pour des particuliers, à ne pas avoir un « casier judiciaire à vie » sur Internet ».

Quel est le statut de Wikipédia ? Marie Soulez rappelle la position prise par la Cour d’appel de Paris en 2014 :

Wikipédia qui n’est pas un éditeur de presse, ne peut être tenu responsable de la publication des contenus qu’il publie ».

Wikimedia, à travers la plateforme Wikipédia, n’est qu’un hébergeur de contenus tiers. La loi du 21 juin 2004 est venue poser les jalons en matière de responsabilité de ces hébergeurs, qui ne peuvent être tenus responsables des contenus publiés par des tiers. En effet, face à l’impossibilité de contrôler l’ensemble des contenus publiés, le législateur a exonéré l’hébergeur d’une telle responsabilité, notamment en ne mettant à sa charge aucune obligation générale de surveillance. Ainsi, c’est le contributeur qui est responsable de la publication des propos litigieux. Toutefois, la responsabilité de Wikimédia pourra être engagée si, après notification du demandeur de sa volonté de voir un contenu supprimé et analyse dudit contenu, l’encyclopédie maintien la publication litigieuse ».

Le droit français a-t-il vocation à régir la responsabilité de Wikipédia, entité française mais dépendante de Wikimedia, organisation américaine ?

Les contenus publiés par Wikimédia sont orientés vers le public français. À ce titre-là, bien que Wikimédia soit une entité américaine, le droit français s’applique en vertu de la théorie dite de l’orientation ».

Beaucoup d’affaires touchant aux droits des personnes sur Wikipédia donnent-elles lieu à un procès ?

Lorsque la Cour de Justice de l’Union Européenne a rendu son arrêt sur le droit à l’oubli le 13 mai 2014, une des premières cibles a été Wikipédia. De nombreux demandeurs ont voulu exercer leur droit à l’oubli pour des contenus publiés sur l’encyclopédie en ligne. Toutefois très peu d’affaires sont arrivées en justice : les règles de la communauté Wikipédia, notamment la modération dans la publication de contenus, permettent la résolution des litiges et la suppression des contenus a posteriori ».

Concrètement, que faire lorsqu’on souhaite voir supprimer des informations publiées sur sa page Wikipédia ?

Il ne sera bien sûr pas possible de supprimer une information du seul fait qu’elle déplait. Cela nécessite un contenu inexact, illicite, diffamatoire voire injurieux. Si tel est le cas, il sera possible de mettre en œuvre les actions judiciaires susceptibles de mener à la suppression du contenu (…). Il existe de nombreuses procédures judiciaires d’urgence : référés, lorsqu’un dommage imminent préjudiciable existe, ou encore requêtes judiciaires qui se démarquent par la non-contradiction du défendeur. Bien sûr, les procédures au fond subsistent lorsque les procédures d’urgences n’ont pas permis la réparation du préjudice. »

Voir l’intégralité du débat dans l’émission Smart Tech de la chaîne B Smart (débute à 12:00), Le magazine quotidien de l’innovation, émission du lundi 20 juillet 2020.

Eric Bonnet
Directeur de la communication juridique
Avocat, Lexing Alain Bensoussan Avocats

Pour prévenir et évaluer le risque de contagion au COVID-19, des dispositifs de caméras intelligentes et caméras thermiques sont déployés sur la voie publique, dans et aux abords des commerces, dans les transports en commun et sur les lieux de travail.

Caméras intelligentes et caméras thermiques : les garanties à respecter

La Cnil indique qu’il s’agit en pratique « soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants, soit du déploiement de nouveaux systèmes vidéo dédiés : dispositifs de prise de température automatique ‘caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc. » (1).

La pandémie actuelle ne suspend pas les droits des personnes concernées par l’usage de caméras intelligentes et caméras thermiques.

À ce jour, aucun texte spécifique n’encadre le recours à des caméras « intelligentes » et des caméras thermiques.

Cependant, lorsque ces dispositifs collectent des données personnelles, une réglementation (RGPD et Loi du 6 janvier 1978) spécifique s’applique. Par exemple, lorsqu’une image permet d’identifier la personne concernée, le dispositif relève de cette réglementation.

Par conséquent, des garanties doivent assortir la mise en place de tels dispositifs pour respecter cette réglementation :

• la démonstration du caractère nécessaire et proportionné ;
• la limitation de la durée de conservation des données ;
• l’instauration de mesures de pseudonymisation ou d’anonymisation ;
• l’absence de suivi individuel.

La Cnil indique que « si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD ».

Par ailleurs, la mise en place d’un dispositif de vidéoprotection doit respecter les dispositions du Code de la sécurité intérieure (articles L.251-1 et suivants).

Intelligents ou thermiques : ces dispositifs nécessitent une vigilance accrue

Eviter toutes dérives : sentiment de surveillance, accoutumance, banalisation de technologies intrusives.

Il est donc primordial de concilier la salubrité publique :

• au droit à la vie privée et à la protection des données personnelles,
• à la liberté d’aller et venir,
• à la liberté d’expression et de réunion,
• au droit de manifester et
• à la liberté de conscience et d’exercice du culte.

La Cnil a déjà eu l’occasion d’appeler à la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018 et plus spécifiquement concernant la reconnaissance faciale en novembre 2019.

Elle émet des réserves sur le recours aux caméras thermiques puisqu’il ne permet pas de détecter les personnes asymptomatiques. Par ailleurs, il peut être contourné par la prise de médicaments réduisant la température corporelle.

La Cnil met en garde contre les déviances du déploiement de caméras intelligentes et caméras thermiques.

Elle indique que « lorsqu’ils constituent des traitements automatisés de données personnes et relèvent à ce titre du RGPD, de tels dispositifs conduisent le plus souvent soit à traiter des données sensibles sans le consentement des intéressés (notamment la température), soit à écarter le droit d’opposition ».

En l’absence de texte juridique spécifique à l’usage de caméras intelligentes, la Cnil appelle donc les acteurs à la plus grande vigilance afin d’éviter de multiplier et de pérenniser les dispositifs de surveillance par caméras.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Cnil, « Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la Cnil et les règles à respecter », 17 juin 2020.

Sur le thème « La Cnil alliée de confiance du quotidien numérique », l’autorité chargée de la protection des données personnelles a rendu public le 9 juin 2020 son rapport annuel pour 2019.

Le rapport d’activité de la Cnil 2019, qui coïncide avec l’année de son 40ème anniversaire, est rendu public au moment où le Règlement général sur la protection des données (RGPD) vient de fêter le 25 mai 2020 le deuxième anniversaire de son entrée en application effective.

Nul doute dans ces conditions que ce texte qui a transformé en profondeur le droit de la protection des données à caractère personnel en Europe soit une nouvelle fois au cœur du rapport annuel pour 2019. C’est d’ailleurs le « constat indéniable » que souligne en avant-propos sa présidente Marie-Laure Denis : « L’année 2019 démontre que le RGPD est au cœur des préoccupations des Français et des Européens ».

Une très forte mobilisation autour du RGPD de la part de tous les publics

Le rapport souligne ainsi que 68 % des Français se déclarent plus sensibles à la question de la protection de leurs données personnelles. Un taux qui s’explique, selon la Cnil, en partie par « la médiatisation dont a bénéficié le RGPD en 2018 qui se concrétise par une prise de conscience massive, inscrite dans la durée ».

Cela s’est traduit en 2019, en 2019, par 8 millions de visites sur son site web ou encore 17 302 requêtes par voie électronique sur « Besoin d’aide », soit une augmentation de 2,5 %.

La Cnil a également reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79 % en cinq ans.

L’autorité indique que les 2 287 notifications de violations de données personnelles reçues en 2019 lui permettent également « d’orienter au mieux son action de conseil ainsi que son action répressive et, finalement, de mieux jouer son rôle dans l’écosystème de la cybersécurité ».

En outre, pour répondre aux enjeux numériques de la vie quotidienne des Français, la Cnil a enrichi son offre éditoriale (recommandations, fiches, vidéos etc.) et a créé de nouveaux outils pratiques pour aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Le rapport annuel pour 2019 dresse le bilan de l’activité de contrôle et de sanction de la Cnil

Revenant sur l’entrée en application effective du RGPD et la mise en conformité du droit national qui en a découlé, la présidente Marie-Laure Denis souligne que la Cnil s’est « pleinement emparée du nouveau cadre juridique », ayant « activé les nouveaux seuils de sanction prévus par le RGPD, à l’image de la sanction Google de janvier 2019, qui reste encore, à ce jour, la sanction la plus importante en Europe décidée par les autorités de protection de données ».

Le rapport annuel pour 2019 souligne que pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la Cnil s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD.

Pour ce faire, l’autorité dispose aujourd’hui d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.

L’activité de la Cnil en quelques chiffres

En 2019, la Cnil a ainsi procédé à 300 contrôles dont :

• 169 contrôles sur place ;
• 53 contrôles en ligne ;
• 45 contrôles sur pièce ;
• 18 auditions.

8 sanctions ont été prononcées en 2019, dont :

• 7 amendes d’un montant total de 51 370 000 euros ;
• 5 injonctions sous astreinte.

Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.

42 mises en demeure ont par ailleurs été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.

Le rôle de conseil de la Cnil aux pouvoirs publics et au Parlement

En 2019, la Cnil a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.

Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la Cnil rappelle qu’elle a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.

La Cnil et l’accompagnement des professionnels

La Cnil aura également consacré l’année 2019 au développement de nombreux outils d’accompagnement à la conformité RGPD, parmi lesquels les premiers outils de droit souple tels que le référentiel de gestion des vigilances sanitaires, un cours en ligne ouvert à tous (MOOC) « Atelier RGPD » qui compte plus de 62 000 comptes, le site design.cnil.fr, ou encore la publication de nombreux contenus pédagogiques sur le site web cnil.fr.

La coopération européenne renforcée

La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019 (dont 10 cas pour lesquels la Cnil a été autorité chef de file du fait que l’organisme visé avait son établissement principal en France, et 32 cas où la Cnil participait activement du fait que des Français étaient concernés par le traitement). 596 dossiers de coopération concernaient des plaintes et la Cnil était « chef de file » sur 54 cas.

Quatre nouvelles lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.

Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données) et participé à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux (dit « Schrems II »).

La Cnil et les enjeux 2020

Dans son rapport annuel pour 2019, la Cnil revient sur son plan d’action sur les cookies.

Concernant le ciblage publicitaire en ligne, la Cnil rappelle qu’elle a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs :

• répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et
• accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité par rapport obligations du RGPD.

Après la publication de lignes directrices le 18 juillet 2019 et suite à une consultation publique, la Cnil publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.

Les actions menées par la Cnil durant l’état d’urgence sanitaire

Dans le contexte de la crise sanitaire liée au Covid-19, le rapport annuel pour 2019 rappelle que la Cnil est plus que jamais mobilisée pour protéger la vie privée et les libertés des personnes.

Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.

L’autorité s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur le Covid-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées.

En outre, la Cnil a été saisie en urgence par le Gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la Cnil va désormais procéder à une série de contrôles de ces outils.

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique

Commission Nationale de l’Informatique et des Libertés
Rapport d’activité 2019
Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles
La Documentation française, 112 pages, Juin 2020.

V. également le dossier de presse du 9 juin 2020.

L’obligation de sécurité permet-elle à l’employeur de tenir un registre d’identification des salariés atteints du Covid-19 ?

L’obligation de sécurité de l’employeur face au Covid-19

Au nom de son obligation de sécurité, l’employeur est tenu de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs » (Article L.4121-1 du Code du travail). Cette obligation passe notamment par :

• des actions de préventions des risques professionnels ;
• des actions d’information et de formations ;
• la mise en place d’une organisation et de moyens adaptés.

L’employeur doit garantir la sécurité des salariés dans ce contexte de déconfinement et de retour des salariés dans les locaux. Il est donc confronté à la problématique d’identification des salariés infectés pour éviter une propagation du virus au travail.

L’identification des salariés atteints du Covid-19

Le Ministère du travail a publié des fiches conseils par métier à destination des salariés et des employeurs afin de les accompagner dans la mise en œuvre de mesures de protection contre le Covid-19 sur le lieu de travail (Fiches conseils métiers publiés par le Ministère du travail).

De plus, il est important pour l’employeur de pouvoir être informé lorsque ses collaborateurs ont été contaminés par le Covid-19. Ils seront ainsi identifiés et des mesures seront prises pour éviter toute contamination générale  comme :

• le placement en quatorzaine ;
• l’information des personnes ayant été en contact avec le salarié concerné, dans le respect de sa vie privé.

L’employeur peut donc, pour raison de sécurité, créer un registre d’identification des salariés infectés, ayant été exposés ou suspectés.

Le respect du principe de protection des données à caractère personnel

Cependant, s’il met en place un tel registre, il doit le faire dans le respect des principes encadrant la protection des données à caractère personnel prévus à l’article 5 du RGPD et notamment :

• principe de minimisation des données traitées : seules les données strictement nécessaires à l’accomplissement de la finalité du traitement peuvent être traitées. Par exemple :
  • identité du salarié,
  • situation de télétravail ou non et durée,
  • visite auprès de la médecine du travail,
  • date de signalement.
• principe d’exactitude des données traitées : les données traitées doivent être mises à jour en fonction de la situation du salarié. Par exemple :
  • cas d’un salarié suspecté d’avoir été exposé au Covid-19 qui réalise un test et qui informe l’employeur du résultat positif ou négatif.
• limitation des durées de conservation : les données permettant l’identification de la personne ne doivent pas être conservées au-delà de ce qui est strictement nécessaire au regard des finalités poursuivies. Ceci implique qu’elles ne soient pas être conservées au-delà de la période d’épidémie en cours.

Emmanuel Walle
Elena Blot
Lexing Département social numérique

Dans un arrêt du 27 novembre 2019 (n° 18-14675), la Cour de cassation tire les conséquences des principes dégagés par la Cour de justice de l’Union européenne et rappelle l’obligation pour la juridiction saisie d’une demande de déréférencement d’une condamnation de vérifier si d’une part l’inclusion d’un lien litigieux dans la liste de résultats répond à un motif d’intérêt public important, et d’autre part si elle est strictement nécessaire pour assurer la préservation dudit intérêt.

Demande de déréférencement d’une condamnation accessible par plusieurs liens

En l’occurrence, un expert-comptable, qui avait été déclaré coupable d’escroquerie et de tentative d’escroquerie, a fait une demande de déréférencement du lien mentionnant sa condamnation pénale. Il soutenait en effet que les articles faisant état de sa condamnation étaient toujours accessibles par le biais d’une recherche effectuée à partir de ses nom et prénom sur les moteurs de recherche en ligne, et que ce dernier n’ayant pas donné suite à sa demande. Il l’a donc assigné aux fins de déréférencement, demande dont il a été débouté par la Cour d’appel de Paris par un arrêt du 6 décembre 2017.

Réponses apportées par la Cour de justice de l’Union européenne

La Cour de justice de l’Union européenne ayant été, à la même période, saisie par le Conseil d’État de quatre requêtes, portant notamment sur le droit au déréférencement, la Cour de cassation a décidé dans un premier temps de surseoir à statuer dans l’attente des réponses apportées par la CJUE qui a rendu son arrêt le 24 septembre 2019 (Aff. C-136/17).

Se fondant sur les orientations apportées par la CJUE, la Cour de cassation a censuré l’arrêt d’appel au visa des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 et des articles 9 du Code civil et 809 du Code de procédure civile.

Conformément aux indications de la CJUE, les moteurs de recherche doivent faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquels figurent des données à caractère personnel qui relèvent de catégories particulières (données de santé ou faisant état d’une condamnation). Elle précise que l’exploitant du moteur de recherches doit « vérifier, au titre des motifs d’intérêt public important (…), si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette Charte ».

L’interdiction du traitement des données sensibles applicables aux moteurs de recherches

Dès lors, il apparaît que la CJUE considère que l’interdiction de traiter des données sensibles s’applique également aux moteurs de recherche. Elle a ainsi dégagé deux critères sur lesquels doivent s’appuyer les juridictions en cas de demande de déréférencement d’un lien faisant état de données particulières, compte tenu de la sensibilité de ces dernières : l’appréciation du bien-fondé de la demande d’une part, en vérifiant si l’inclusion du lien litigieux répond à un motif d’intérêt public, et vérifier d’autre part que la demande est strictement nécessairement pour assurer ledit motif.

La Cour de cassation relève qu’en l’espèce, pour analyser la demande de déréférencement d’une condamnation, la Cour d’appel s’était contentée de relever que le demandeur avait une profession s’inscrivant dans la vie publique et que dès lors l’intérêt des internautes, à pouvoir accéder à l’information relative à sa condamnation pénale, prévalait sur le droit à la protection des données à caractère personnel.

En l’occurrence, elle aurait dû, compte tenu de la gravité de l’ingérence dans les droits du demandeur au respect de sa vie privée et à la protection de ses données à caractère personnel, vérifier si l’inclusion des liens litigieux était strictement nécessaire pour protéger la liberté d’information des internautes.

La Cour de cassation précise que dans le cas inverse, le trouble manifestement illicite de l’article 809 du code de procédure civile est caractérisé, et la voie du référé serait ainsi ouverte.

Les solutions dégagées par la CJUE permettront d’aiguiller à l’avenir les juridictions lorsqu’elles feront face à des demandes de déréférencement pour lesquelles des données particulières seront en jeu.

Marie Soulez
Lexing Département Propriété intellectuelle contentieux
Raphaël Liotier
Chloé Perruchot
Lexing Contentieux du numérique

Dans un arrêt du 11 décembre 2019 (Aff. C-708/18), la CJUE valide l’intérêt légitime comme base légale d’un traitement de vidéosurveillance, précisant les trois conditions devant être remplies : la poursuite d’un intérêt légitime, la nécessité du traitement pour la réalisation d’un traitement légitime et la conciliation entre les droits et libertés fondamentaux des personnes concernées, ces derniers ne devant pas prévaloir sur l’intérêt légitime poursuivi.

En l’occurrence, le litige concernait l’installation de caméras de vidéosurveillance dans un immeuble en Roumanie, installation que l’un des propriétaires considérait comme une violation de son droit au respect de sa vie privée. La CJUE était alors notamment saisie de la question de savoir si le traitement de vidéosurveillance, mis en place pour assurer la garde et la protection des personnes, biens et actifs, pouvait être fondé sur l’intérêt légitime, sans le consentement des personnes concernées.

L’intérêt légitime comme base légale du traitement

Dans l’affaire concernée, la copropriété de l’immeuble avait mis en place un système de vidéosurveillance pour contrer les nombreux cambriolages et actes de vandalismes qui avaient été perpétrés. La CJUE considère dans un premier temps que la protection des biens et des personnes constitue effectivement un intérêt légitime, précisant que ce dernier devait être démontré, à savoir être né et actuel à la date du traitement, et ne pas présenter un caractère hypothétique. La Cour précise néanmoins qu’il n’est pas nécessaire qu’il ait été porté atteinte à la sécurité des biens et des personnes pour accepter l’existence de l’intérêt légitime.

La CJUE examine dans un second temps si le traitement de vidéosurveillance constituait l’unique moyen de parvenir à lutter efficacement contre les menaces pesant sur les biens et personnes, à savoir s’il n’existait pas un autre moyen moins attentatoire aux libertés et droits fondamentaux des personnes concernées. En l’espèce, la copropriété avait antérieurement vainement tenté de mettre en place des mesures alternatives. En outre, la nécessité et proportionnalité du traitement implique la minimisation des données qui sont collectées. Les caméras de vidéosurveillance ne permettaient en l’espèce que de filmer les parties communes de l’immeuble et les voies d’accès à celui-ci.

Enfin, la CJUE rappelle que doivent être mis balance les droits et intérêts opposés ; doivent être ainsi pris en compte le caractère éventuellement sensible des données traitées, ainsi que la nature et les modalités du traitement. En l’occurrence, la CJUE a fait prévaloir l’importance de la sécurité voulue par les copropriétaires sur l’atteinte à la vie privée, jugeant par conséquent que le dispositif de vidéosurveillance était valide, même sans le consentement des personnes concernées.

Parallélisme avec les recommandations de la Cnil

La Cnil permet que la base légale d’un traitement de vidéosurveillance soit l’intérêt légitime dans un cadre de prévention, c’est-à-dire sans qu’il n’y ait eu antérieurement d’atteintes effectives. Il est dès lors tout à fait possible d’avoir recours à des systèmes de vidéosurveillances dans un immeuble, dès lors que les caméras ne filment que les espaces communs, et ne soient pas orientées vers des espaces privés (balcons, fenêtres, etc.).

Si un tel système est mis en place par une copropriété, seul le syndic ou le gestionnaire peuvent avoir accès aux images qui ne doivent être visionnées qu’en cas d’incident et conservées pour une durée d’un mois maximum. Enfin, conformément à l’obligation d’information prévue aux articles 12 à 14 du RGPD et 48 et suivants de la loi n° 78-17 du 6 janvier 1978, les personnes concernées par le traitement doivent être informées des éléments suivants :

• le responsable de traitement, ses nom et adresse ainsi que ceux du Délégué à la protection des données (DPD ou DPO pour Data Protection Officer) ;
• la finalité du dispositif ;
• la base légale du traitement ;
• les destinataires des données ;
• la durée de conservation des images ;
• la possibilité d’introduire une réclamation auprès de la Cnil.

En conclusion, si l’intérêt légitime peut constituer une base légale du traitement de vidéosurveillance, le responsable de traitement doit toujours procéder à une mise en balance des intérêts en présence, conformément aux lignes directrices du CEPD.

Virginie Bensoussan-Brulé
Chloé Perruchot
Lexing Contentieux du numérique

Invité le samedi 11 avril par Julien Pasquet dans l’Intégrale Week-end de CNews (1), Alain Bensoussan était interrogé sur la polémique autour du tracking à l’occasion du projet StopCovid, une application pour smartphone visant à lutter contre la propagation du Covid-19.

Cette application que le gouvernement développe en partenariat avec l’inria est-elle sans danger pour les libertés individuelles ? Elle revêt un enjeu sanitaire majeur, mais également d’un enjeu de libertés publiques.

Libérer le potentiel des technologies

La technologie est source d’opportunités pour lutter contre le Covid-19.

« Dans un moment aussi particulier, il faut libérer les technologies » explique Alain Bensoussan. Nous sommes tous en restriction sur de nombreuses libertés fondamentales et la protection des données en est une parmi tant d’autres. L’importance dans ce domaine est d’observer le « coût/avantage ». Des pays comme la Corée du Sud ont montré qu’il y avait un  vrai avantage.

L’important n’est pas tant la donnée que son utilisation après le confinement. Il faut donc prévoir des garde-fous qui permettront de pouvoir utiliser toutes les technologies permettant d’exploiter la « data ».

Le Règlement européen sur la protection des données du 27 avril 2016 (RGPD) permet au gouvernement d’utiliser les données personnelles de santé pour « des motifs d’intérêt public dans le domaine de la santé publique » (RGPD, art. 9).

Dans le cas d’un état d’urgence, il est ainsi possible de prendre des règles d’exception par rapport aux principes généraux. Le règlement européen offre les garanties nécessaires pour mettre en œuvre le projet gouvernemental StopCovid.

« Il est donc important de libérer les technologies en permettant à chacun d’entre nous de pouvoir les utiliser et surtout d’en avoir la maîtrise ».

Toutefois, Alain Bensoussan émet une réserve s’agissant de la fracture digitale.

Ne pas aggraver la fracture numérique

La fracture digitale risque de s’aggraver pour ceux qui n’auront pas accès à cette application faute d’avoir un smartphone.

Lorsque la technologie est un prérequis à la participation d’un programme offrant une chance de ne pas contracter le virus, elle laisse à l’extérieur les personnes qui en sont dépourvues.

Etant écartée du dispositif, « elles ne pourront bénéficier de l’opportunité d’être informée d’avoir été en contact avec une personne infectée » développe ainsi Alain Bensoussan.

Le choix de ne pas utiliser de smartphone écarte immédiatement 13 millions de Français qui n’en possèdent pas, notamment, les personnes très âgées qui sont particulièrement touchées par la pandémie. Selon la mission Société Numérique, 13 millions de nos concitoyens demeureraient encore éloignés du numérique (2).

StopCovid n’est pas une application de « tracking » individuel

Pour certains, l’application StopCovid n’est pas une réponse à la crise mais une démarche idéologique destinée à limiter les libertés des personnes.

Comment se situer par rapport à cette position très tranchée ? Selon Alain Bensoussan, « il faut permettre l’utilisation des données dans l’intérêt de tous ».

Selon l’Inria partenaire du projet, la future application StopCovid n’utilise que le bluetooth, en aucun cas les données de bornage GSM ni de géolocalisation. Il ne s’agit pas d’une application de surveillance puisqu’elle est totalement anonyme.

Pour Alain Bensoussan, si l’on veut améliorer la situation sanitaire et économique en permettant un déconfinement dans les meilleures conditions, « il faut pouvoir recourir aux technologies du 21ème siècle sans en avoir peur en mettant les garde-fous associés ».

Il faut libérer les technologies numériques lorsqu’est en jeu non pas le caractère privé de la vie mais la vie en tant que tel.

(1) Retrouvez la totalité de l’interview d’Alain Bensoussan pour CNEWS, « StopCovid : le tracking suscite la polémique »,  dans #IntégraleWE, 11 avril 2020.
(2) « Treize millions de Français en difficulté avec le numérique », Mission société numérique (pilotée par le gouvernement de M. Édouard Philippe).

Le RGPD impose aux mairies de prendre des mesures pour prévenir tout incident de sécurité et réagir de manière appropriée en cas de violation de données.

L’obligation générale de sécurité des mairies

Comme tout responsable de traitement de données personnelles, les mairies et autres collectivités territoriales sont soumises à une obligation générale de sécurité imposée par le RGPD. Les articles 33 et 34 du RGPD précisent les obligations qui pèsent sur les mairies qui traitent des données à caractère personnel. Au titre de ce principe essentiel, ces organismes doivent mettre en place des mesures visant à :

• prévenir tout incident de sécurité ;
• réagir de manière appropriée en cas de violation de données, c’est-à-dire mettre fin à la violation et minimiser ses effets.

Guide Anssi de la sécurité dans les mairies

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’Anssi a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ».

Parmi les 7 fiches que comporte ce guide, l’une s’intitule : « Se préparer et réagir en cas d’incident de sécurité ». Cette fiche a notamment pour objectif d’expliciter les modalités de mise en œuvre du principe général de sécurité dans les mairies ou tout autre collectivité territoriale. La fiche s’inspire d’une méthodologie décrite dans de nombreuses normes ISO, en organisant le processus de gestion des incidents de sécurité autour du cycle suivant.

La préparation – Lors d’une indispensable phase préliminaire de préparation, la mairie doit à la fois définir ce qu’elle considère comme un incident de sécurité et l’organisation qu’elle entend mettre en place autour de la gestion de ces incidents de sécurité. La mairie doit ensuite communiquer en interne, sensibiliser ses collaborateurs et régulièrement auditer les procédures mises en place.

La détection – L’enjeu de la phase de détection pour les mairies est de pouvoir identifier les incidents de sécurité le plus tôt possible afin d’en limiter les conséquences, notamment sur les données personnelles. Cette phase nécessite de combiner une veille constante, l’utilisation d’outils de supervision et de permettre une remontée d’informations efficace.

L’évaluation – Cette phase de filtre consiste à analyser les événements de sécurité à l’aide des critères préalablement définis lors de la phase de préparation et ainsi permettre de les catégoriser en tant qu’incident de sécurité pour pouvoir y réagir.

La réaction – Lorsqu’un incident de sécurité est identifié il est indispensable pour la mairie concernée de remplir ses obligations de notification aux autorités dans le respect des délais imposés (Cnil, Anssi, etc). Par exemple, en cas de violation de données présentant un risque au regard de la vie privée des personnes concernées, l’article 33 du RGPD impose une notification de l’incident de sécurité à la Cnil dans un délai de 72 heures. En outre, dans cette hypothèse l’article 34 du RGPD impose aussi à la mairie de communiquer à la personne concernée l’information selon laquelle elle a été victime d’une violation de données à caractère personnel.

Il convient ensuite de traiter l’incident de sécurité, en prenant toutes les mesures nécessaires afin de limiter la propagation ou la gravité de l’incident. Il est aussi nécessaire de collecter des enregistrements pour conserver des preuves, afin que la mairie puisse être en mesure de déposer plainte si elle l’estime nécessaire.

Tirer les enseignements d’un incident de sécurité

Après la résolution de l’incident de sécurité, la mairie concernée doit prendre le temps d’analyser les causes ayant engendré l’incident et la manière dont elle a su ou non réagir. Cette phase doit permettre la mise en place d’un plan d’action préventive de nature à empêcher la survenance d’un incident similaire.

Enfin, cette phase est aussi l’occasion pour la mairie concernée d’actualiser et d’enrichir les mesures mises en œuvre durant la phase de préparation.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Anne Renard
Directeur Conformité & Certification
Louis Montecot Grall

RGPD, eIDAS, RGS… Pour répondre au défi de la sécurité numérique, les mairies sont confrontées à des contraintes règlementaires nombreuses et complexes.

Les mairies et les autres collectivités territoriales sont engagées dans une transformation numérique profonde. Cette transformation a pour double objectif de renforcer les services rendus aux citoyens et de répondre à des obligations règlementaires nouvelles comme le RGPD.

Le cadre règlementaire de la sécurité numérique des mairies

Pour répondre au défi de la sécurité numérique, posé par la transformation numérique des mairies et des autres collectivités territoriales, la France et l’Union européenne se sont dotées d’un cadre règlementaire participant à la protection des systèmes d’information et dont les objectifs sont :

• le renforcement de la confiance des usagers dans l’utilisation des services numériques ;
• le renforcement de la sécurité des données à caractère personnel ;
• la transformation numérique des administrations ;
• le renforcement de la sécurité des acteurs critiques pour l’État.

Le texte le plus emblématique de ce cadre réglementaire est le RGPD, qui met en place de nouvelles obligations à la charge des mairies et des autres collectivités territoriales. Notamment, l’article 32 du RGPD prévoit que les collectivités territoriales doivent assurer la sécurité des traitements de données à caractère personnel qu’elles mettent en œuvre.

Le 18 décembre 2019, l’équivalent norvégien de la Cnil a condamné la mairie d’Oslo sur le fondement du RGPD pour ne pas avoir mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité numérique adapté.

Les grands principes de la sécurité numérique des mairies

Cette réglementation s’articule autour de trois principes fondamentaux :

• la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, agents, etc.) des collectivités territoriales et des mairies à la sécurité par la définition et le suivi de politique de sécurité des systèmes d’information (PSSI) ;
• la gestion des risques qui doit amener les collectivités territoriales et les mairies à évaluer les menaces auxquelles elles sont soumises et les mesures qu’elles peuvent mettre en place pour s’en protéger tout en tenant compte des contraintes auxquelles elles font face (financière, humaine, sociale, etc.) (RGPD, article 32) ;
• l’amélioration continue qui permet à l’organisation de régulièrement évaluer son niveau de sécurité afin d’identifier les domaines dans lesquels il est nécessaire de progresser.

Le guide ANSSI

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’ANSSI a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Ce document contient 7 fiches de recommandations :

• FICHE 1 : Aide à la mise en œuvre des réglementations
• FICHE 2 : Se préparer et réagir en cas d’incident de sécurité
• FICHE 3 : L’usage de la signature électronique
• FICHE 4 : Ouvrir un téléservice dans le respect des règles de sécurité
• FICHE 5 : Ouvrir un service numérique au public dans le contexte eIDAS
• FICHE 6 : Recourir à l’externalisation pour la gestion du système d’information
• FICHE 7 : Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS

Anne Renard
Lexing Conformité et certification

Alain Bensoussan a été interviewé par le magazine L’Express, sur les données biométriques utilisées par Clearview AI.

L’application Clearview propose une base de données qui est déjà largement utilisée par les services d’ordre américains pour procéder à des contôles d’identité grâce à la reconnaissance faciale. Cette application qui n’est pas encore disponible en Europe, propose une base de données biométriques d’ordre international qui inquiète pour les menaces qu’elle représente pour notre vie privée.

Les données biométriques : des données sensibles

Alain Bensoussan, avocat spécialisé dans le droit numérique et les nouvelles technologies, s’exprime sur l’illégalité du traitement de données personnelles et de la technique utilisée : le « scraping« . Cette pratique consiste à récupérer automatiquement, à l’aide d’un programme, des données personnelles, en l’occurence des photographies de personnes et leur identité.

« Tout ce qui touche à la biométrie, c’est-à-dire à l’identification des personnes en fonction de leurs caractéristiques biologiques, physiques et comportementales est une pratique très encadrée ».

Mettre en ligne sur les réseaux sociaux des photos et les diffuser de manière publique ne signifie pas pour autant qu’elles soient entièrement libres de droits. La représentation d’une personne reste une donnée biométrique, personnelle et privée, et, à ces différents titres, protégée. Le fait que ces photos soient accessibles ne justifie pas qu’elles soient librement et légalement téléchargeables et réutilisables.

(1) « Vie privée : pourquoi l’application Clearview ne devrait pas arriver en France » par Manon Fossat, L’Express, 22-01-2020.

Alain Bensoussan évoque pour Digital Mag la reconnaissance faciale aux abords des lycées et les précisions apportées par la Cnil.

Saisie d’une expérimentation prévoyant le recours à la reconnaissance faciale à l’entrée de deux lycées marseillais et niçois, la Cnil a considéré que « ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités » (Séance plénière du 17 octobre 2019).

Reconnaissance faciale aux abords des lycées : les données sensibles d’un public… sensible

S’agissant de mineurs de plus de 15 ans, même si leur consentement était acquis, la question se pose d’un choix réel et non contraint. Par ailleurs, la sécurisation des données biométriques est toujours problématique et ce proportionnellement au risque important d’atteinte aux libertés individuelles des personnes concernées.

Après un examen attentif du projet, la Cnil a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD (Règlement général sur la protection des données).

En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

Les technologies de reconnaissance faciale présentent beaucoup d’intérêt en matière de sûreté et de sécurité, mais elles sont aussi porteuses d’un risque important d’atteinte aux libertés individuelles.

Ces technologies soulèvent encore de nombreuses questions non résolues. C’est pourquoi la Cnil a appelé à un débat démocratique sur ce sujet, ainsi que plus largement sur les nouveaux usages de la vidéo.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Alain Bensoussan,  « Reconnaissance faciale aux abords des lycées, les précisions de la Cnil », DigitalMag n° 258 p.42-43 décembre 2019.

Depuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

• l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
• l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
• la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

• Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
• La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
• On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
• Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.

Le Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Design interactif, clé de voûte de l’interface réussie

A l’heure du tout numérique, le design apparaît plus que jamais centré sur l’utilisateur, examinant en détail son environnement, son mode de vie, ses habitudes, ses besoins et ses interactions avec les interfaces, les produits et les services qui lui sont offerts.

En effet, la réalisation d’une interface implique l’imbrication d’une conception technique consistant à créer une chaîne de fonctionnalités d’actions et de réactions et d’une conception du design visant à guider l’utilisateur dans l’utilisation de l’interface par la mise en place de parcours et de représentations graphiques aisément compréhensibles.

C’est ainsi que se sont développés, différents métiers du design interactifs :

• le design d’interface (user interface design ou UI) visant à faciliter l’utilisation du service, de l’application ou de la machine par la création d’une interface visuellement cohérente et compréhensible ;
• le design d’interactions (interaction design ou IxD), ayant pour objectif de déterminer la réaction du système dans le dialogue avec l’utilisateur ;
• plus récemment, le design d’expérience utilisateur (UX design) visant à améliorer et optimiser l’expérience utilisateur en centrant la conception de l’interface sur l’expérience client.

Il s’agit là de la transposition au monde numérique de l’optimisation du parcours client bien connue du monde de la grande distribution dont les magasins Ikea sont l’illustration typique.

Design interactif, instrument d’optimisation de la collecte de données personnelles

Appliqué au monde numérique, le design interactif constitue également un moyen particulièrement performant de collecte des données utilisateurs par la mise en place de méthodes destinées à influencer le comportement de ce dernier.

Dans ce cadre, le Laboratoire d’innovation de la Commission nationale de l’informatique et des libertés (LINC) a identifié, dans son 6e cahier Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables » (1) paru en janvier 2019, quatre catégories de pratiques de design interactif visant à optimiser la collecte de données personnelles potentiellement trompeuses.

Sont ainsi visées les pratiques consistant à « pousser l’individu à accepter de partager plus que ce qui est strictement nécessaire ». Parmi les exemples les plus topiques, se trouve la pratique consistant à solliciter la collecte de données additionnelles à celles strictement nécessaires au service lors d’une étape où l’utilisateur est engagé dans un processus de commande par exemple.

Le LINC donne ici l’exemple consistant à requérir un numéro de téléphone, pour permettre la livraison du bien commandé, qui sera in fine utilisé à des fins de prospection commerciale.

Une deuxième catégorie de pratiques ainsi identifiée consiste à influencer le consentement de l’utilisateur par la mise en œuvre de techniques peu claires ou ambiguës : recueil du consentement par l’utilisation de phrases complexes avec une double négation par exemple ou encore utilisation d’un code graphique dans un sens opposé à celui sous lequel il est généralement perçu : reproduction d’un cadenas dans un environnement non sécurisé, d’un code rouge pour une acception et vert pour un refus.

Une troisième catégorie de technique de design interactif réside dans la mise en place de « frictions aux actions de protection des données » : sous couvert de respecter la règlementation applicable, l’exercice des droits de l’utilisateur fait obstacle à l’utilisation de l’interface ou alors est rendue particulièrement complexe pour pousser l’utilisateur à l’abandon (complexification du réglage des paramètres de confidentialité par exemple).

La dernière catégorie de pratiques ainsi relevées vise celles consistant à « dérouter l’utilisateur » par exemple par le fait de donner à une action un sens contraire à celle attendue ou encore de masquer le caractère publicitaire d’un contenu.

Design interactif et RGPD : des exigences inconciliables ?

Si ces pratiques ne sont pas toutes sanctionnables, elles conduisent à s’interroger sur la compatibilité entre le but poursuivi par le design interactif et le respect des règles de transparence et de manifestation du consentement de l’utilisateur posées par le RGPD.

Ainsi, l’article 5 du RGPD pose le principe selon lequel les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

L’article 4 définit par ailleurs la notion de « consentement de la personne concernée » comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

A cet égard, le G29 est venu préciser que, pour déterminer si le consentement était donné librement, il y avait lieu de tenir compte de « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) [l’]empêchant [l’utilisateur] d’exercer sa volonté rendra le consentement non valable » (2).

Dès lors, le design interactif abusif ou trompeur apparait susceptible de remettre en cause la validité du consentement donné, et partant, la validité du traitement fondé sur ce consentement lorsqu’aucune autre base légale n’est susceptible d’être valablement invoquée.

Design interactif et RGPD : lancement d’une plateforme dédiée

Face à ce constat, le LINC a récemment lancé la plateforme Données & Design, destinée aux « designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits » (3).

Cette plateforme qui vise à « créer des opportunités de collaboration et des espaces d’échange entre les designers pour coconstruire des parcours respectueux de la vie privée », s’articule autour de trois axes :

• la présentation des fondamentaux et concepts clés de la réglementation relative à la protection des données personnelles se prêtant particulièrement au design interactif : information des utilisateurs, consentement, exercice des droits ;
• la présentation d’exemples et de cas d’étude servant d’inspiration pour créer des interfaces et parcours respectueux des données personnelles des utilisateurs, et la fourniture de ressources permettant d’approfondir les questions de protection des données à caractère personnel ;
• la possibilité pour les designers d’accéder à un espace d’échanges sur la plateforme Slack afin de discuter avec leurs pairs des problématiques rencontrées en matière de protection des données à caractère personnel, et de participer à divers ateliers de réflexion sur ce sujet.

Cette plateforme s’adresse en premier lieu aux designers, chefs de projets et développeurs, mais également aux délégués à la protection des données et juristes intervenant dans le secteur du design interactif.

Gageons que ce nouvel outil permettra aux designers, et plus largement à l’ensemble des acteurs intervenant dans le secteur du design interactif, d’adopter des pratiques vertueuses pour le respect de la vie privée des utilisateurs, et à ces derniers de mieux maîtriser leurs données personnelles.

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Laboratoire d’Innovation de la Commission Nationale de l’Informatique et des Libertés (LINC), Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables », janvier 2019,
(2) Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017,
(3) Plateforme Données & Design.

Le RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

• l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
• le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
• la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

• des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
• des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
• l’instruction des demandes et gestion des logements sociaux ;
• des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

• évaluation/scoring (y compris le profilage) ;
• décision automatique avec effet légal ou similaire ;
• surveillance systématique ;
• collecte de données sensibles ou données à caractère hautement personnel ;
• collecte de données personnelles à large échelle ;
• croisement de données ;
• personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
• usage innovant (utilisation d’une nouvelle technologie) ;
• exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

• les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
• les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
• les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

• la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
• le recensement des enfants soumis à l’obligation scolaire ;
• la restauration scolaire et extrascolaire ;
• les transports scolaires ;
• les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
• la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
• l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.

Les traitements de gestion des vigilances sanitaires peuvent être mis en oeuvre après une déclaration de conformité à la Cnil.

Ce régime est issu du référentiel de gestion des vigilances sanitaires élaboré par la Cnil pour encadrer leur traitement conformément aux principes du RGPD (délibération du 9 mai 2019) .

Contexte applicable aux référentiels publiés par le Cnil

Certains traitements de données de santé à caractère personnel visés à l’article 65 de la loi Informatique et libertés sont régis par des dispositions spécifiques.

Il s’agit notamment, sauf exceptions visées au même article, des traitements de données de santé à caractère personnel nécessaires :

• pour des motifs d’intérêt public important (RGPD, art. 9, 2) g) ;
• pour ces mêmes motifs dans le domaine de la santé (RGPD, art. 9, 2) i) ;
• à des fins de recherche scientifique ou historique ou à des fins statistiques (RGPD, art. 9, 2) j) ;
• aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable de traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale (RGPD, art. 9, 2) b).

Ces traitements ne peuvent être mis en œuvre que s’ils sont conformes à des référentiels. Le responsable du traitement doit adresser préalablement à la Cnil une déclaration attestant de cette conformité.

A défaut de se conformer à ces référentiels, ces traitements ne peuvent être mis en œuvre qu’après autorisation de la Cnil.

C’est donc dans ce cadre que s’inscrit le présent référentiel, accompagné de sa FAQ publiée par la Cnil.

Distinction avec les autres référentiels visés par la loi Informatique et libertés

Bien que la terminologie soit identique, la notion de référentiel, selon la loi de 78, apparaît polyforme et comprend :

• des référentiels visés à l’article 8 de la loi Informatique et libertés. Ils sont établis et publiés par la Cnil pour faciliter la mise en conformité des traitements de données à la loi. Ils permettent aux responsables de traitement et sous-traitants d’évaluer les éventuels risques ;
• des référentiels de certification de personnes, de produits, de systèmes de données et de procédures. Le but est de reconnaître leur conformité au RGPD et à la loi Informatique et libertés. Il existe aussi des référentiels d’agrément des organismes certificateurs (Loi IetL, art. 8) ;
• ceux comme le présent référentiel auquel il convient de se conformer en application du contexte susvisé.

Champ d’application du référentiel de gestion des vigilances sanitaires

Tout d’abord, ce référentiel concerne :

• les traitements de données de santé à caractère personnel liés à l’ensemble des vigilances sanitaires. Par exemple, pharmacovigilance, addictovigilance, biovigilance, cosmétovigilance, hémovigilance ; mais aussi toute autre vigilance figurant dans l’arrêté du 27 février 2017 qui nécessite une déclaration ou un signalement.  Il peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables ;
• mis en œuvre par les acteurs suivants : fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit.

« Les professionnels et les systèmes ou services de soins de santé (établissement de santé, maisons de santé, centres de santé, agences sanitaires, etc.) ne sont pas concernés » par ce référentiel. En effet, ils ne sont pas concernés par les dispositions des articles 65 et suivants de la loi de 78 et ne requièrent, en principe, aucune formalité préalable (Cnil, FAQ, Le référentiel « vigilances sanitaires » en questions, 18 juillet 2019).

Traitements concernés par le référentiel de gestion des vigilances sanitaires

Ensuite, le référentiel énonce les finalités des traitements de gestion des vigilances sanitaires et leurs bases légales :

• le traitement est nécessaire au respect des obligations légales imposées par les dispositifs de vigilance sanitaire (RGPD, art. 6, 1) c)) ;
• le traitement est nécessaire pour des motifs d’intérêt public (RGPD, art. 9, 2) i)).

Les données personnelles concernées par le traitement, les destinataires et les durées de conservation des données sont aussi précisées.

Cela signifie que le responsable du traitement ne peut en bénéficier dans les hypothèses où :

• un traitement aux fins de vigilance sanitaire comporte d’autres données que celles listées,
• les données sont transmises à d’autres destinataires ou
• des durées de conservation non conformes au référentiel sont prévues,

En pareils cas, il ne peut donc les mettre en œuvre qu’après autorisation de la Cnil.

Information des personnes concernées

Les personnes concernées doivent être informées dès la collecte des données des modalités de leur traitement (RGPD, art. 13 et 14).

Il s’agit des :

• personnes exposées à l’événement sanitaire indésirable,
• personnes ayant notifié l’événement sanitaire indésirable et
• professionnels de santé ayant suivi la personne concernée par l’événement

Surtout, le référentiel relatif à la gestion des vigilances sanitaires précise :

• qu’en cas de notification de l’événement sanitaire indésirable par la personne qui y est exposée, une information particulière doit lui être fournie préalablement, afin de l’informer que le secret de son identité ne sera pas préservé ;
• que l’information doit également préciser la manière d’exercer les droits des personnes concernées.

Le support de l’information est libre et l’information peut être fournie par écrit ou à l’oral. Dans cette dernière hypothèse, la personne concernée peut obtenir la mise à disposition d’un support écrit.

Lorsque la notification de l’évènement est réalisée par une personne différente de celle exposée, l’information est fournie par le notificateur sur la base des éléments d’information écrits que lui a remis par le responsable de traitement.

A ce titre, il appartient au responsable du traitement de recueillir la preuve, le cas échéant auprès du notificateur, que l’information a été fournie.

Droits des personnes concernées

Au regard de la base juridique du traitement (respect d’une obligation légale), les personnes concernées ne disposent pas du droit :

• d’opposition,
• d’effacement des données,
• à la portabilité des données.

Ainsi, les personnes concernées disposent des droits suivants :

• droit d’accès aux données, dans les conditions de l’article 15 du RGPD ;
• droit de rectification des données, dans les conditions de l’article 16 du RGPD ;
• droit à la limitation du traitement, dans les conditions de l’article 18 du RGPD.

Sécurité et hébergement des données

Le référentiel relatif à la gestion des vigilances sanitaires prévoit une liste de mesures de sécurité à mettre en œuvre par le responsable du traitement.

A défaut, il doit être en mesure de justifier de mesures équivalentes ou du fait de ne pas avoir besoin ou de ne pas pouvoir y recourir.

Le responsable peut recourir à un prestataire extérieur pour le stockage et la conservation des données de santé. Ce dernier doit être agréé ou certifié hébergeur de données de santé.

Dans l’hypothèse où le responsable du traitement n’est pas établi en France, il doit démontrer que son prestataire présente des garanties de sécurité équivalentes.

A défaut, le responsable du traitement ne peut pas bénéficier du présent référentiel et le traitement doit donc faire l’objet d’une autorisation préalable de la Cnil.

Transfert de données hors de l’Union européenne

De même, seules certaines données peuvent faire l’objet d’un transfert hors de l’Union européenne. Il s’agit des données indirectement identifiantes des personnes exposées à un événement sanitaire indésirable ; ou encore des données indirectement identifiantes des personnes ayant notifié l’événement.

Ce transfert doit être strictement nécessaire à la mise en œuvre du dispositif de vigilance et être réalisé dans les conditions prévues aux articles 45 et suivants du RGPD.

Pour bénéficier des exceptions prévues à l’article 49 du RGPD (dérogations pour des situations particulières), le traitement ne doit être ni répétitif, ni massif, ni structuré.

Analyse d’impact

Enfin, pour bénéficier du référentiel relatif à la gestion des vigilances sanitaires, le responsable de traitement doit réaliser une analyse d’impact sur la vie privée.

La consultation de la Cnil s’impose si, à l’issue de l’analyse d’impact, il est difficile d’identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.

Marguerite Brac de la Perrière
Chloé Gaveau
Lexing Santé numérique

RGPD dans les mairies : Le RGPD met à leur charge, et de manière plus générale à celle de l’ensemble des collectivités territoriales, de nouvelles obligations qui font l’objet de l’attention de la Cnil.

La responsabilisation ou « l’accountability » des mairies

Les mairies doivent être dans une démarche proactive et de mise en conformité permanente. Chaque ville doit être en mesure de démontrer qu’elle effectue ses traitements de données à caractère personnel conformément aux exigences de la réglementation applicable en la matière.

La démarche de mise en conformité des collectivités territoriales implique un travail collectif afin de respecter les exigences relatives à la protection des données à caractère personnel.

Le délégué à la protection des données, chef d’orchestre du RGPD dans les mairies

Le RGPD prévoit des cas dans lesquels la désignation d’un délégué à la protection des données (DPD) est obligatoire. C’est le cas lorsque le traitement est réalisé par une autorité publique ou un organisme public (RGPD, art. 37) (1).

Les mairies ont donc l’obligation de désigner un DPD que ce soit en interne si elles disposent des ressources nécessaires ou en externe.

Certaines fonctions sont incompatibles avec la fonction de DPD. C’est le cas en particulier lorsque la personne intervient dans la détermination des finalités et des moyens du traitement. A titre d’exemple, le Directeur des systèmes d’information (DSI) ne peut occuper une telle fonction.

L’obligations des mairies de tenir un registre des activités de traitement

Le RGPD prévoit une obligation de tenir un registre des activités de traitement effectué en qualité de responsable de traitement ou de sous-traitant (RGPD, art. 30).

L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre (gestion de l’état civil, gestion des activités scolaires, périscolaires et extrascolaires, gestion de la petite enfance, gestion administrative du personnel, gestion des marchés publics etc.)

Pour être en conformité avec le RGPD dans les mairies, il est nécessaire d’élaborer et de tenir un registre des activités de traitement.

L’encadrement par les mairies de leurs relations avec les sous-traitants

Le RGPD précise qu’un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes de conformité à la réglementation relative à la protection des données à caractère.

L’article 28 du RGPD impose un contrat de sous-traitance qui doit comporter un certain nombre de mentions (RGPD, art. 28).

Notamment dans les marchés publics, cela se traduit par l’insertion de clauses particulières par les collectivités qui encadrent les activités des prestataires auxquels elles recourent.

Les principes de protection dès la conception et par défaut dans les mairies

Selon ces principes, la collectivité doit appliquer, tant lors de la détermination des moyens mis en œuvre pour le traitement que pendant le traitement lui-même, des mesures techniques et organisationnelles appropriées, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux dispositions du Règlement (RGPD, art. 25).

Cela signifie encore que les mairies doivent prendre en compte les exigences de la réglementation dès la phase de projet d’un traitement et mettre en place des paramétrages des outils qui par défaut garantissent la protection des données à caractère personnel.

L’analyse d’impact sur la vie privée

Dès lors que la collectivité territoriale traite des données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elle doit réaliser une analyse d’impact, AIPD. C’est par exemple le cas pour certains traitements du Centre communal d’action social (CCAS), pour les dispositifs d’alertes professionnels ou encore dans le cadre de l’octroi de logements sociaux.

La sécurité des données à caractère personnel des Mairies

Les villes doivent assurer la sécurité des traitements de données à caractère personnel. Le niveau de sécurité doit être adapté aux risques présentés par le traitement (RGPD, art. 32).

Elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

La gestion des violations de données par les Mairies

Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Une des nouveautés du RGPD dans les mairies et, de manière générale, dans tous les organismes publics ou privés, réside dans leurs obligations vis-à-vis de la Cnil et des personnes concernées lorsqu’une telle violation de données intervient.

Dès lors qu’une violation de données est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, les collectivités doivent informer la Cnil dans les meilleurs délais et si possible dans un délai de 72 heures.

L’information des personnes concernées dépend des conséquences préjudicielles qui peuvent être anticipées (RGPD, art. 33 et 34). Dès lors que le risque est élevé pour les droits et libertés des personnes, ils devront être informés de cette violation de données.

Le renforcement de l’information des personnes concernées par les mairies

Les collectivités territoriales doivent fournir un ensemble d’informations prévues aux articles 13 et 14 du RGPD notamment dans les mentions d’information dès lors qu’elles traitent des données des administrés, des agents ou de tout autre personne physique (RGPD, art. 13 et 14).

La gestion des droits des personnes dans les mairies

La personne concernée dispose d’un certain nombre de droits sur ses données et notamment de droits d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et à la portabilité des données à caractère personnel.

La personne concernée peut exercer ses droits auprès de la collectivité qui doit répondre dans un délai d’un mois à compter de la réception de la demande.

La ville doit apporter une réponse concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (RGPD, art. 12).

Pour respecter ces exigences du RGPD dans les mairies, il est nécessaire de prévoir une procédure spécifique en interne afin de gérer ces demandes de manière efficace.

Le RGPD dans les mairies, une des préoccupations de la Cnil pour les mois à venir

Tout d’abord, la Cnil souhaite accompagner les collectivités territoriales sur certains sujets comme les élections municipales et la communication politique (2).

A cet égard, la Cnil a publié un guide « Guide de sensibilisation au RGPD pour les collectivités territoriales ».

Par ailleurs, la Cnil a également indiqué que son programme de contrôle 2019 est axé sur :

• les plaintes reçues par la Cnil relatives à l’exercice effectif des droits des personnes,
• les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Plus d’un an après son entrée en application, le respect des exigences du RGPD dans les mairies est un véritable enjeu notamment dans la perspective des élections municipales à venir.

Anne Renard
Yoko Riat
Lexing Conformité et certification

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit RGPD).
(2) Communiqué Cnil du 15-4-2019.

Virginie Bensoussan-Brulé évoque l’impact du RGPD lors d’une conférence à l’IHEDN le 11 octobre 2019 dans le cadre d’un cycle dédié à l’intelligence économique.

L’Institut des Hautes Etudes de Défense Nationale (IHEDN) organise chaque année depuis 1996 plusieurs cycles de formation à l’intelligence économique et stratégique, à destination des cadres des secteurs public et privé.

Conférence à l’IHEDN

L’objectif de ces formations : s’approprier les concepts d’Intelligence économique, les méthodes d’organisation et les outils utiles pour le management de l’information stratégique.

Le programme des cycles s’articule autour de modules thématiques de présentations générales, de retours d’expériences et d’exercices.

Le programme traite de l’organisation de l’Etat en matière d’Intelligence économique et principalement des métiers et fonctions qui participent à la mise en place d’une démarche d’Intelligence économique dans une organisation.

Le programme comprend différents modules thématiques dont l’un est consacré à « La sécurité économique ».

C’est dans le cadre de ce module que Virginie Bensoussan-Brulé, avocate, directrice du Pôle Droit pénal numérique du cabinet Lexing Alain Bensoussan Avocats, prononce une conférence à l’IHEDN dans le cadre du 66ème cycle Intelligence économique et stratégique (IES), cette conférence est dédiée aux impacts du RGPD.

Cette conférence se déroule le vendredi 11 octobre 2019 de 16h15 à 17h45.

Eric Bonnet
Avocat
Directeur de la communication juridique

Ce « Guide de sensibilisation au RGPD pour les collectivités territoriales » est destiné aux administrations locales qui mettent en œuvre de nombreux traitements de données à caractère personnel (gestion des inscriptions scolaires, gestion de l’état civil, gestion des listes électorales…) et doivent respecter les exigences du RGPD [1].

Parution du guide de la Cnil pour la mise en conformité des mairies au RGPD

Afin d’aider les mairies, dans le cadre de leur mise en conformité au RGPD, la Cnil vient de publier un Guide de sensibilisation au RGPD pour les collectivités territoriales à leur attention [2].

Principaux changements pour les mairies depuis l’entrée en application du RGPD

Le guide de mise en conformité des mairies au RGPD rappelle les principaux changements pour ces organismes induits par l’entrée en application du RGPD, notamment :

• l’obligation de recenser de l’ensemble des traitements mis en œuvre par les services des collectivités territoriales ;
• la nécessité, pour toutes les collectivités territoriales, de désigner un Délégué à la Protection des Données (DPD) ;
• l’obligation de réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Mise à disposition d’outils à destination des collectivités territoriales

Le guide de la Cnil pour les collectivités territoriales comporte de nombreux outils afin d’aider les collectivités territoriales à se conformer aux exigences de la règlementation, notamment :

• un modèle de mentions d’information pour le traitement de gestion de l’état civil ;
• des fiches réflexes permettant de sensibiliser les agents aux bonnes pratiques en matière de protection des données ;
• des illustrations et des cas concrets pour permettre aux mairies de mieux appréhender les notions clés de la règlementation relative à la protection des données ;
• une liste de finalités de traitements pouvant servir de base pour cartographier les traitements mis en œuvre par les mairies ;
• un plan d’action en 4 étapes pour permettre aux collectivités territoriales de se mettre en conformité.

Focus sur les missions du Délégué à la Protection des Données (DPD)

Le guide de mise en conformité des mairies au RGPD consacre un long développement aux missions du DPD, à son statut et à ses modalités de désignation.

L’autorité rappelle ainsi que les collectivités territoriales peuvent désigner soit un DPD en interne, soit une personne externe et qu’il est possible pour les collectivités territoriales de mutualiser le DPD (au niveau d’un établissement public intercommunale par exemple).

Le rappel des conditions de licéité des traitements spécifiques aux collectivités territoriales

Le guide de la Cnil à destination des mairies au RGPD apporte des éclairages concernant les conditions de licéité des traitements spécifiques aux mairies.

La Cnil précise notamment les règles concernant les traitements suivants :

• équipement des agents de police municipale de caméras mobiles ;
• dispositifs de lecture automatisée des plaques d’immatriculation ;
• gestion des téléservices des mairies.

Analyses d’impact au sein des collectivités territoriales

Il n’est pas fait référence au projet de liste des traitements exemptés d’analyse d’impact dans le guide de la Cnil pour la mise en conformité des mairies au RGPD.

Au vu du projet de liste soumis par la Cnil au Comité européen de protection des données en la matière [3], il semblerait que les traitements relatifs à la gestion des écoles, aux activités extrascolaires et à la petite enfance puissent être exemptés d’analyse d’impact.

Il conviendra d’attendre la publication de la liste définitive de la Cnil afin de s’assurer que ces traitements sont bien exemptés.

Anne Renard
Alicia Béré
Lexing Conformite et certification

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
[2] Cnil, « Guide de sensibilisation au RGPD pour les collectivités territoriales », 18-09-2019.
[3] CEPD, Opinion 13/2019, 10-7-2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment

Le droit des contrats à l’épreuve du RGPD – Le cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiée. Jean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

Le droit des contrats à l’épreuve du RGPD

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

 

Le cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

RGPD/GDPR : quels outils pour quelles obligations ?

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 1er octobre et 15 novembre 2019 et présentera quels outils pour quelles obligations en abordant les grandes thématiques suivantes :

• Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
• Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
• Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
• Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
• Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

• Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
• Maîtriser les outils indispensables du juriste data / DPO ;
• Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme