La Cnil publie son rapport annuel pour 2019

rapport annuel pour 2019Sur le thème « La Cnil alliée de confiance du quotidien numérique », l’autorité chargée de la protection des données personnelles a rendu public le 9 juin 2020 son rapport annuel pour 2019.

Le rapport d’activité de la Cnil 2019, qui coïncide avec l’année de son 40ème anniversaire, est rendu public au moment où le Règlement général sur la protection des données (RGPD) vient de fêter le 25 mai 2020 le deuxième anniversaire de son entrée en application effective.

Nul doute dans ces conditions que ce texte qui a transformé en profondeur le droit de la protection des données à caractère personnel en Europe soit une nouvelle fois au cœur du rapport annuel pour 2019. C’est d’ailleurs le « constat indéniable » que souligne en avant-propos sa présidente Marie-Laure Denis : « L’année 2019 démontre que le RGPD est au cœur des préoccupations des Français et des Européens ».

Une très forte mobilisation autour du RGPD de la part de tous les publics

Le rapport souligne ainsi que 68 % des Français se déclarent plus sensibles à la question de la protection de leurs données personnelles. Un taux qui s’explique, selon la Cnil, en partie par « la médiatisation dont a bénéficié le RGPD en 2018 qui se concrétise par une prise de conscience massive, inscrite dans la durée ».

Cela s’est traduit en 2019, en 2019, par 8 millions de visites sur son site web ou encore 17 302 requêtes par voie électronique sur « Besoin d’aide », soit une augmentation de 2,5 %.

La Cnil a également reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79 % en cinq ans.

L’autorité indique que les 2 287 notifications de violations de données personnelles reçues en 2019 lui permettent également « d’orienter au mieux son action de conseil ainsi que son action répressive et, finalement, de mieux jouer son rôle dans l’écosystème de la cybersécurité ».

En outre, pour répondre aux enjeux numériques de la vie quotidienne des Français, la Cnil a enrichi son offre éditoriale (recommandations, fiches, vidéos etc.) et a créé de nouveaux outils pratiques pour aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Le rapport annuel pour 2019 dresse le bilan de l’activité de contrôle et de sanction de la Cnil

Revenant sur l’entrée en application effective du RGPD et la mise en conformité du droit national qui en a découlé, la présidente Marie-Laure Denis souligne que la Cnil s’est « pleinement emparée du nouveau cadre juridique », ayant « activé les nouveaux seuils de sanction prévus par le RGPD, à l’image de la sanction Google de janvier 2019, qui reste encore, à ce jour, la sanction la plus importante en Europe décidée par les autorités de protection de données ».

Le rapport annuel pour 2019 souligne que pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la Cnil s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD.

Pour ce faire, l’autorité dispose aujourd’hui d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.

L’activité de la Cnil en quelques chiffres

En 2019, la Cnil a ainsi procédé à 300 contrôles dont :

  • 169 contrôles sur place ;
  • 53 contrôles en ligne ;
  • 45 contrôles sur pièce ;
  • 18 auditions.

8 sanctions ont été prononcées en 2019, dont :

  • 7 amendes d’un montant total de 51 370 000 euros ;
  • 5 injonctions sous astreinte.

Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.

42 mises en demeure ont par ailleurs été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.

Le rôle de conseil de la Cnil aux pouvoirs publics et au Parlement

En 2019, la Cnil a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.

Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la Cnil rappelle qu’elle a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.

La Cnil et l’accompagnement des professionnels

La Cnil aura également consacré l’année 2019 au développement de nombreux outils d’accompagnement à la conformité RGPD, parmi lesquels les premiers outils de droit souple tels que le référentiel de gestion des vigilances sanitaires, un cours en ligne ouvert à tous (MOOC) « Atelier RGPD » qui compte plus de 62 000 comptes, le site design.cnil.fr, ou encore la publication de nombreux contenus pédagogiques sur le site web cnil.fr.

La coopération européenne renforcée

La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019 (dont 10 cas pour lesquels la Cnil a été autorité chef de file du fait que l’organisme visé avait son établissement principal en France, et 32 cas où la Cnil participait activement du fait que des Français étaient concernés par le traitement). 596 dossiers de coopération concernaient des plaintes et la Cnil était « chef de file » sur 54 cas.

Quatre nouvelles lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.

Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données) et participé à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux (dit « Schrems II »).

La Cnil et les enjeux 2020

Dans son rapport annuel pour 2019, la Cnil revient sur son plan d’action sur les cookies.

Concernant le ciblage publicitaire en ligne, la Cnil rappelle qu’elle a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs :

  • répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et
  • accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité par rapport obligations du RGPD.

Après la publication de lignes directrices le 18 juillet 2019 et suite à une consultation publique, la Cnil publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.

Les actions menées par la Cnil durant l’état d’urgence sanitaire

Dans le contexte de la crise sanitaire liée au Covid-19, le rapport annuel pour 2019 rappelle que la Cnil est plus que jamais mobilisée pour protéger la vie privée et les libertés des personnes.

Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.

L’autorité s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur le Covid-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées.

En outre, la Cnil a été saisie en urgence par le Gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la Cnil va désormais procéder à une série de contrôles de ces outils.

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique

Commission Nationale de l’Informatique et des Libertés
Rapport d’activité 2019
Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles
La Documentation française, 112 pages, Juin 2020.

V. également le dossier de presse du 9 juin 2020.




Municipales 2020 : une plateforme de signalement

Municipales 2020Pour le bon déroulement des municipales 2020, la Cnil a lancé en décembre 2019 une plateforme de signalement à disposition des citoyens.

En période électorale, les réseaux sociaux font partie de la stratégie de communication numérique de tout bon candidat en campagne. Mail, post, tweet ou vidéo font partie des nouvelles formes d’expression de la vie politique en ligne. Surtout, ils permettent d’atteindre à moindre coût, un grand nombre d’électeurs potentiels.

D’une part, cette communication doit être respectueuses des données personnelles. D’autre part, elle nécessite du discernement.

De nombreux électeurs ont signalé à la Cnil leurs inquiétudes quant aux conditions d’utilisation de leurs données par les candidats. Elle a par conséquent créé une plateforme qui permet à toute personne de signaler une pratique qu’elle estimerait non conforme.

Le fonctionnement de la plateforme de signalement

Son fonctionnement est simple. Toute personne contactée par un candidat ou un parti politique dans le cadre des élections municipales 2020 peut signaler une conduite qu’elle jugerait non conforme au RGPD.

La Cnil invite donc la personne à faire son signalement à l’aide du message suivant :

Vous avez été contacté(e) par un candidat ou un parti politique dans le cadre des élections municipales et vous vous interrogez sur cette pratique, signalez-la à la Cnil. Votre signalement ne sera pas nécessairement considéré comme une plainte. Il nous permettra d’identifier des pratiques qui justifieraient une intervention de notre part. Vos coordonnées nous permettront d’en accuser réception et de vous contacter éventuellement, afin d’obtenir des informations complémentaires ».

Sur la base de ces signalements, la Cnil indique qu’elle pourra « si nécessaire, opérer des contrôles auprès des acteurs concernés ».

Les mesures que la Cnil peut adopter après le signalement d’une pratique illégale

Ces « mesures correctrices » consistent à mettre en demeure le responsable de traitement ou son sous-traitant de :

  • satisfaire aux demandes d’exercice de droits présentées par les personnes concernées ;
  • mettre les opérations de traitement en conformité avec la loi ;
  • rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données ;
  • notifier aux destinataires des données les mesures qu’il a prises.

La mise en demeure peut éventuellement être publique. La Cnil peut fixer un délai de mise en conformité de vingt-quatre heures en cas d’extrême urgence.

En cas de non-conformité dans le délai imparti, la Cnil peut prononcer, un avertissement ou une sanction pécuniaire.

Municipales 2020 : gare aux dérapages

L’Observatoire des élections de la Cnil a émis des recommandations en novembre dernier « pour des élections respectueuses des données personnelles », notamment en matière de communication politique par téléphone, SMS, MMS et par courrier électronique.

Elle rappelle qu’en la matière, le RGPD met à la charge des responsables de traitement une obligation de transparence à l’égard des personnes concernées et une obligation d’information renforcée que les données soient collectées « directement ou indirectement » auprès d’elle. Pour les candidats et les partis politiques, cela se traduit par « l’obligation d’informer les personnes concernées au moins lors de l’envoi du premier message, si les personnes ne disposent pas déjà de ces informations ».

Rappelons que cette information doit être faite « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (Règl. UE 2016/679, art. 12, 1°). Outre l’identité et les coordonnées du responsable de traitement, les candidats et partis doivent notamment mentionner dans leur communication politique :

  • l’origine des données utilisées en cas de collecte indirecte (listes électorales, base de données commerciale de telle société, réseaux sociaux, achat de bases de données de contacts par exemple) ;
  • les droits dont disposent les personnes concernées (droit d’accès, de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité, droit d’opposition) ainsi que la manière dont ils peuvent les exercer.

Enfin, en cas de pratique jugée illégale, la Cnil est susceptible d’adopter rapidement des mesures correctrices conformément au RGPD.

Alain Bensoussan,
Mél : alain-bensoussan@lexing.law
L.D. : +33 (0)6 19 13 44 46

 




La Cnil lance une plateforme Données & design RGPD

plateforme Données & designLe Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Design interactif, clé de voûte de l’interface réussie

A l’heure du tout numérique, le design apparaît plus que jamais centré sur l’utilisateur, examinant en détail son environnement, son mode de vie, ses habitudes, ses besoins et ses interactions avec les interfaces, les produits et les services qui lui sont offerts.

En effet, la réalisation d’une interface implique l’imbrication d’une conception technique consistant à créer une chaîne de fonctionnalités d’actions et de réactions et d’une conception du design visant à guider l’utilisateur dans l’utilisation de l’interface par la mise en place de parcours et de représentations graphiques aisément compréhensibles.

C’est ainsi que se sont développés, différents métiers du design interactifs :

  • le design d’interface (user interface design ou UI) visant à faciliter l’utilisation du service, de l’application ou de la machine par la création d’une interface visuellement cohérente et compréhensible ;
  • le design d’interactions (interaction design ou IxD), ayant pour objectif de déterminer la réaction du système dans le dialogue avec l’utilisateur ;
  • plus récemment, le design d’expérience utilisateur (UX design) visant à améliorer et optimiser l’expérience utilisateur en centrant la conception de l’interface sur l’expérience client.

Il s’agit là de la transposition au monde numérique de l’optimisation du parcours client bien connue du monde de la grande distribution dont les magasins Ikea sont l’illustration typique.

Design interactif, instrument d’optimisation de la collecte de données personnelles

Appliqué au monde numérique, le design interactif constitue également un moyen particulièrement performant de collecte des données utilisateurs par la mise en place de méthodes destinées à influencer le comportement de ce dernier.

Dans ce cadre, le Laboratoire d’innovation de la Commission nationale de l’informatique et des libertés (LINC) a identifié, dans son 6e cahier Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables » (1) paru en janvier 2019, quatre catégories de pratiques de design interactif visant à optimiser la collecte de données personnelles potentiellement trompeuses.

Sont ainsi visées les pratiques consistant à « pousser l’individu à accepter de partager plus que ce qui est strictement nécessaire ». Parmi les exemples les plus topiques, se trouve la pratique consistant à solliciter la collecte de données additionnelles à celles strictement nécessaires au service lors d’une étape où l’utilisateur est engagé dans un processus de commande par exemple.

Le LINC donne ici l’exemple consistant à requérir un numéro de téléphone, pour permettre la livraison du bien commandé, qui sera in fine utilisé à des fins de prospection commerciale.

Une deuxième catégorie de pratiques ainsi identifiée consiste à influencer le consentement de l’utilisateur par la mise en œuvre de techniques peu claires ou ambiguës : recueil du consentement par l’utilisation de phrases complexes avec une double négation par exemple ou encore utilisation d’un code graphique dans un sens opposé à celui sous lequel il est généralement perçu : reproduction d’un cadenas dans un environnement non sécurisé, d’un code rouge pour une acception et vert pour un refus.

Une troisième catégorie de technique de design interactif réside dans la mise en place de « frictions aux actions de protection des données » : sous couvert de respecter la règlementation applicable, l’exercice des droits de l’utilisateur fait obstacle à l’utilisation de l’interface ou alors est rendue particulièrement complexe pour pousser l’utilisateur à l’abandon (complexification du réglage des paramètres de confidentialité par exemple).

La dernière catégorie de pratiques ainsi relevées vise celles consistant à « dérouter l’utilisateur » par exemple par le fait de donner à une action un sens contraire à celle attendue ou encore de masquer le caractère publicitaire d’un contenu.

Design interactif et RGPD : des exigences inconciliables ?

Si ces pratiques ne sont pas toutes sanctionnables, elles conduisent à s’interroger sur la compatibilité entre le but poursuivi par le design interactif et le respect des règles de transparence et de manifestation du consentement de l’utilisateur posées par le RGPD.

Ainsi, l’article 5 du RGPD pose le principe selon lequel les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

L’article 4 définit par ailleurs la notion de « consentement de la personne concernée » comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

A cet égard, le G29 est venu préciser que, pour déterminer si le consentement était donné librement, il y avait lieu de tenir compte de « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) [l’]empêchant [l’utilisateur] d’exercer sa volonté rendra le consentement non valable » (2).

Dès lors, le design interactif abusif ou trompeur apparait susceptible de remettre en cause la validité du consentement donné, et partant, la validité du traitement fondé sur ce consentement lorsqu’aucune autre base légale n’est susceptible d’être valablement invoquée.

Design interactif et RGPD : lancement d’une plateforme dédiée

Face à ce constat, le LINC a récemment lancé la plateforme Données & Design, destinée aux « designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits » (3).

Cette plateforme qui vise à « créer des opportunités de collaboration et des espaces d’échange entre les designers pour coconstruire des parcours respectueux de la vie privée », s’articule autour de trois axes :

  • la présentation des fondamentaux et concepts clés de la réglementation relative à la protection des données personnelles se prêtant particulièrement au design interactif : information des utilisateurs, consentement, exercice des droits ;
  • la présentation d’exemples et de cas d’étude servant d’inspiration pour créer des interfaces et parcours respectueux des données personnelles des utilisateurs, et la fourniture de ressources permettant d’approfondir les questions de protection des données à caractère personnel ;
  • la possibilité pour les designers d’accéder à un espace d’échanges sur la plateforme Slack afin de discuter avec leurs pairs des problématiques rencontrées en matière de protection des données à caractère personnel, et de participer à divers ateliers de réflexion sur ce sujet.

Cette plateforme s’adresse en premier lieu aux designers, chefs de projets et développeurs, mais également aux délégués à la protection des données et juristes intervenant dans le secteur du design interactif.

Gageons que ce nouvel outil permettra aux designers, et plus largement à l’ensemble des acteurs intervenant dans le secteur du design interactif, d’adopter des pratiques vertueuses pour le respect de la vie privée des utilisateurs, et à ces derniers de mieux maîtriser leurs données personnelles.

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Laboratoire d’Innovation de la Commission Nationale de l’Informatique et des Libertés (LINC), Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables », janvier 2019,
(2) Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017,
(3) Plateforme Données & Design.




La Cnil s’oppose à la reconnaissance faciale aux abords des lycées

reconnaissance facialeLa Cnil considère que la reconnaissance faciale pour sécuriser et fluidifier l’entrée dans les lycées n’est ni adaptée ni proportionnée aux finalités poursuivies.

A l’origine, il s’agissait d’une expérimentation de reconnaissance faciale pour le contrôle d’accès menée par la région PACA durant toute une année scolaire dans deux lycées marseillais et niçois.

La finalité de ce traitement était de prévenir les intrusions et les usurpations d’identité et de réduire la durée des contrôles à l’entrée des lycées.

Le dispositif de reconnaissance faciale

Le dispositif de « portique virtuel » mis en place permettait au personnel en charge du contrôle d’accès d’être prévenu si la forme du visage (écartement des yeux, forme de la bouche) ne correspondait pas à une forme figurant dans la base de données de reconnaissance faciale des lycéens.

S’agissant d’un traitement biométrique, le dispositif a fait l’objet d’une analyse d’impact relative à la protection des données (AIPD) par la région PACA, et dont la version finalisée a été transmise à la Cnil fin juillet 2019.

Le bilan de l’expérimentation s’est avéré négatif. Les principales oppositions de la Cnil portent sur l’atteinte à deux grands principes posés par le RGPD : la « proportionnalité » et la « minimisation » des données.

Rappelons que l’utilisation de données biométriques, et en particulier la reconnaissance faciale, implique des risques accrus pour les droits des personnes concernées. Il est crucial que le recours à de telles technologies se déroule dans le respect des principes de licéité, nécessité, proportionnalité et minimisation des données telles qu’énoncées dans le RGPD.

Les principes de proportionnalité et de minimisation

Le principe de proportionnalité a été introduit dans la loi Informatique et libertés dès 2004, afin d’assurer un équilibre entre les prérogatives du responsable du traitement et les droits des personnes concernées. Le RGPD réaffirme ce principe sous le couvert du principe de minimisation des données qui consiste à ne traiter que des informations adéquates, pertinentes et nécessaires à la finalité du traitement.

Le principe de proportionnalité a été mis en œuvre par la Cnil pour refuser notamment la géolocalisation des jeunes conducteurs pour un service d’assurance basé sur le concept « pay as you drive » et l’usage de la biométrie dite « de confort » pour l’entrée des enfants dans un centre de loisirs.

Elle estime que de tels dispositifs mis en œuvre en dehors de forts enjeux de sécurité, ne peuvent être imposés aux personnes concernées, y compris au titre de l’intérêt légitime du responsable du traitement.

Dans le cas présent, la Cnil considère qu’en présence de moyens alternatifs moins intrusifs, tel qu’un contrôle par badge, le recours à un dispositif de reconnaissance faciale pour contrôler les accès à un lycée apparaît disproportionné.

Isabelle Pottier

Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications




Présentation du bilan d’activité 2018 et des enjeux 2019 de la Cnil

CnilLa Cnil a rendu public le 15 avril 2019 son bilan d’activité pour l’année 2018, qui restera marquée par l’entrée en application du RGPD.

L’occasion pour sa nouvelle présidente Marie-Laure Denis d’évoquer les enjeux de la Commission en 2019.

2018, année du RGPD

Comme le souligne la Cnil dans son communiqué du même jour, l’entrée en application du RGPD aura marqué une « prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers », qui s’est logiquement traduite par une « augmentation considérable des plaintes adressées à la Cnil, avec une tendance à la hausse qui s’installe ».

2018, une année exceptionnelle

La Cnil justifie ce caractère exceptionnel :

  • d’une part, par l’effet médiatique de l’entrée en application effective du RGPD le 25 mai dernier (et, dans la foulée, de la promulgation de la loi du 20 juin 2018 relative à la protection des données personnelles) ;
  • d’autre part, par la sensibilité accrue des citoyens sur les enjeux liés à la protection de leurs données : selon un sondage IFOP réalisé en avril pour la Cnil, 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.

Un nombre record de plaintes

Une chose est sûre : 2018 aura été « l’année de tous les records, en nombre de plaintes notamment (+32 %) », la Cnil se félicitant qu’elle soit « clairement identifiée comme une source d’information de référence pour les professionnels et le grand public ».

Un tiers des 11.077 plaintes déposées concerne les données publiées sur internet, 21 % concerne la prospection, puis les RH et les banques. Sans oublier les « nouvelles tendances » :

  • le visionnage à distance des images issues des dispositifs vidéo, notamment par l’employeur, pointant un risque de surveillance excessive des employés ;
  • l’installation de caméras dans des unités de soin, filmant ainsi des personnes vulnérables pour leur « sécurité » ;
  • le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
  • la sécurité de ses données personnelles, et pas seulement sur internet ;
  • les craintes quant aux données auxquelles les applications mobiles accèdent dans son smartphone.

Environ 20 % des plaintes font désormais l’objet d’une coopération européenne.

Une activité répressive au service de la sécurité des données

La Cnil a réalisé 310 contrôles en 2018, dont :

  • 204 contrôles sur place (dont 20 contrôles portant sur des dispositifs vidéo)
  • 51 contrôles en ligne
  • 51 contrôles sur pièces
  • 4 auditions

Dans l’immense majorité des cas, la simple intervention de la Cnil se traduit par une mise en conformité de l’organisme.

11 sanctions ont été prononcées par la formation restreinte en 2018 :

  • 10 sanctions pécuniaires (dont 9 publiques et 7 qui concernaient des atteintes à la sécurité des données personnelles.) ;
  • 1 avertissement non public ;
  • 1 non-lieu.

Le DPO, chef d’orchestre de la conformité RGPD

S’agissant du Délégué à la Protection des Données (DPD ou DPO en anglais pour Data Protection Officer), nouvel acteur clé de la conformité Informatique et libertés, le rapport souligne que 18 000 délégués à DPO ont été désignés en 2018 pour 51 000 organismes.

A noter également que fin 2018, 1.170 violations de données avaient été notifiées à la Cnil, laquelle est par ailleurs l’une des quatre autorités européennes ayant eu le plus de procédures à traiter en tant qu’autorité cheffe de file.

Les objectifs en 2019 : le RGPD, clé de voûte d’un numérique de confiance

Les enjeux 2019 consisteront à réussir la mise en œuvre du RGPD, à approfondir la capacité de la Cnil d’expertise sur les infrastructures et plateformes numériques et à continuer à peser dans les discussions européennes et internationales. Objectif : « rehausser le niveau de confiance dans l’économie numérique »

Parmi les acteurs que la Commission entend plus particulièrement accompagner en 2019 figurent les collectivités territoriales, avec un guide RGPD à leur attention qui sera publié très prochainement

La Cnil portera également en 2019 une attention particulière aux start up : plusieurs ateliers organisés à leur attention ont déjà eu lieu depuis le début de l’année afin de mieux comprendre ces acteurs et adapter les contenus qui leur sont destinés. La Cnil, qui publiera prochainement un dossier spécial RGPD qui leur est consacré ainsi qu’un kit de bonnes pratiques pour les développeurs d’applis/SI.

2019 : la fin d’une certaine forme de tolérance

La Cnil a indiqué qu’elle vérifierait pleinement en 2019 le respect des nouvelles obligations découlant du RGPD et en tirerait les conséquences avec discernement.

Il s’agit là de « la fin d’une certaine forme de tolérance liée à la transition » entre l’ancienne législation et le RGPD.

La Cnil vérifiera ainsi pleinement « le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations). Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire »

Mais comme par le passé, « la Cnil fera preuve de discernement dans le choix des mesures correctrices. Les textes prévoient toute une palette de réponses : clôture avec observations, mise en demeure, rappel à l’ordre, injonction sous astreinte, sanction pécuniaire ». Pour choisir la réponse appropriée, elle « tiendra ainsi compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi ». 

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

La Documentation Française, 2019, 99 p.

Télécharger le Rapport annuel




Nouveau protocole de coopération entre la Cnil et la DGCCRF

protocole de coopérationLa Cnil et la DGCCRF signent un nouveau protocole de coopération afin d’adapter leur collaboration aux nouveaux enjeux numériques.

Le 7 janvier 2011, la Cnil et la DGCCRF avaient signé un protocole de coopération destiné à renforcer la protection des données personnelles des consommateurs aux fins de sensibilisation de ces derniers, ainsi que des professionnels.

Pour mémoire, les grandes lignes de ce protocole de coopération étaient les suivantes :

  • la coopération était structurée au sein des deux entités autour du service des contrôle (pour la Cnil) et du service national des enquêtes (pour la DGCCRF) ;
  • l’objectif de la coopération était de permettre une meilleure circulation des remontées du terrain entre les deux entités : les potentiels signalements constitutifs d’infractions en matière de protection des données personnelles et les pratiques contraires aux dispositions notamment du Code de la consommation ;
  • le protocole prévoyait également la possibilité pour les deux entités de réaliser des missions d’information, de réflexion et de contrôle, pouvant être conduites de manière conjointe, ainsi que la mise en place d’actions communes de formation professionnelle aux fins de sensibilisation.

Le 31 janvier 2019, quelques mois seulement après l’entrée en application du Règlement général sur la protection des données (RGPD), ces deux autorités ont décidé de signer un nouveau protocole de coopération afin d’adapter leur collaboration aux nouveaux enjeux numériques.

Les nouveaux axes de coopération de la Cnil et de la DGCCRF

Si le nouveau protocole de coopération n’a pas encore été publié, les principaux axes de renforcement de la coopération ont d’ores et déjà été dévoilés :

  • la sensibilisation des consommateurs aux risques de communication de leurs données personnelles, ainsi que la diffusion de bonnes pratiques à mettre en œuvre pour les professionnels ;
  • l’amélioration des échanges d’informations concernant tant le droit de la consommation que la protection des données personnelles, ainsi que la réalisation de contrôles en commun ;
  • la mutualisation des expertises et des outils d’enquêtes ;
  • la jonction des propositions d’actions auprès des autorités européennes.

Une volonté forte d’amélioration de la protection des données personnelles auprès des consommateurs

Pour rappel, le 21 janvier 2019, soit 10 jours avant cette annonce, la Cnil a infligé une amende de 50 millions d’euros à la société américaine Google LLC pour violation du RGPD, invoquant un manque de transparence, d’information pour les utilisateurs ainsi qu’un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.

Ce nouveau protocole de coopération démontre une nouvelle fois la volonté de ces autorités d’améliorer la protection des consommateurs et de leurs données personnelles, dans la continuité du RGPD.

Eve Renaud-Chouraqui
Sarah Rosenbach
Lexing Concurrence Propriété industrielle contentieux




Petit-déjeuner débat : la jurisprudence de la Cnil depuis le RGPD

jurisprudence de la CnilLe cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.

Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, elle intervient en conseil et contentieux dans les domaines du droit de la presse, droit pénal, ainsi qu’en contentieux en droit de l’internet et droit de la protection des données personnelles.

Le contentieux Cnil post RGPD

Depuis l’entrée en vigueur du RGPD le 15 mai 218, les pouvoirs de la Cnil se sont élargis. En effet, la Cnil peut effectuer des contrôles plus étendus et prononcer des sanctions plus sévères.

La Cnil a désormais le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitement (entreprises, associations, collectivités territoriales, administrations) pour vérifier l’application de la réglementation sur les données personnelles.

A l’issue de missions de contrôles ou sur plaintes, la Cnil peut prononcer diverses sanctions à l’égard des responsables de traitements ou des sous-traitants qui auraient commis un manquement à l’application de la réglementation sur les données personnelles.

Notamment, la Cnil peut prononcer une sanction pécuniaire d’un montant pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

Le 21 janvier 2019, la Cnil a prononcé une amende à l’encontre de la société Google LLC d’un montant de 50 millions d’euros.

Les objectifs du petit-déjeuner débat

Les objectifs du petit-déjeuner débat sont, par l’analyse de la jurisprudence de la Cnil, de :

  • connaître le pouvoir de contrôle et de sanction de la Cnil ;
  • savoir se défendre devant la formation restreinte de la Cnil ;
  • connaître l’actualité des décisions des autorités de contrôle européennes.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Données de géolocalisation: mises en demeure FIDZUP et SINGLESPOT

données de géolocalisation

La Cnil clôt les mises en demeure prononcées à l’encontre des sociétés FIDZUP et SINGLESPOT collectant des données de géolocalisation à des fins de ciblage publicitaire.

Le 29 novembre 2018, la Cnil (Commission nationale de l’informatique et des libertés) a levé les mises en demeure prononcées à l’encontre des sociétés FIDZUP et SINGLESPOT, prononcées respectivement les 19 juillet et 23 octobre 2018, lesquelles avaient manqué à leur obligation de recueillir le consentement des utilisateurs des applications mobiles fournies par leurs partenaires et par lesquelles elles collectent des données de géolocalisation à des fins de ciblage publicitaire.

Les sociétés FIDZUP et SINGLESPOT proposent des services pour la réalisation de campagnes publicitaires mobiles grâce aux données de géolocalisation recueillies par leurs logiciels SDK (« Software Development Kit ») intégrés dans ces applications mobiles. Les données de géolocalisation collectées sont ensuite croisées avec les points d’intérêts (les magasins de partenaires et de concurrents fréquemment visités) de l’utilisateur du smartphone, afin d’obtenir son profil personnalisé. Cet utilisateur recevra, par la suite, et grâce à ce système, des publicités ciblées.

L’information des personnes concernées quant à la mise en place d’un traitement de données de géolocalisation à des fins de ciblage publicitaire

Au regard du caractère particulièrement intrusif des traitements de données de géolocalisation à des fins de ciblage publicitaire dans la vie privée des utilisateurs, il est nécessaire de recueillir le consentement de ces derniers avant de procéder à de tels traitements. Cela peut se formaliser par la mise en place d’une fenêtre contextuelle (« pop-up ») ou une bannière contenant une information claire et une case à cocher ou bien un bouton permettant à l’utilisateur de refuser que ses données soient traitées à des fins de géolocalisation. Ce consentement n’était pas valablement collecté par les sociétés en cause, premier point sur lequel la Cnil a demandé à ces sociétés de se conformer, à l’occasion de ses mises en demeure. La Cnil a, dans sa décision du 29 novembre 2018, constaté que les modèles de bannières et de pop-ups mis en place par les sociétés FIDZUP (1) et SINGLESPOT (2) sont désormais conformes aux dispositions de l’article 7 du Règlement Général sur la Protection des données (RGPD) (3).

Cette clôture des mises en demeure permet à la Cnil de rappeler à nouveau les critères de validité du consentement, à savoir qu’il soit exprimé de façon libre, spécifique, éclairé et univoque. Les contrôles de la Cnil ont révélé que les utilisateurs des applications mobiles sont peu informés quant aux finalités d’une telle collecte, de ses destinataires et encore moins de la présence d’un SDK (outil permettant de collecter les données de géolocalisation) dans l’application. En effet, l’esprit du RGPD vise à remettre l’utilisateur au cœur de la maîtrise de ses données. Ce dernier doit avoir le choix d’opter pour une ou plusieurs finalités de traitement. L’utilisateur doit également être informé des droits qu’il peut exercer concernant le traitement de ses données à caractère personnel par le responsable du traitement ou tout autre destinataire de ses données.

La mise en place de garanties pour la sécurité des données à caractère personnel collectées auprès des utilisateurs

Afin de minimiser les risques de pertes en cas de violation de données, il convient, notamment, d’établir une durée de conservation adéquate des données concernées et de mettre en place une purge des données pertinente. Cette politique de durée de conservation et de purge des données n’était pas valablement mise en place par la société SINGLESPOT, second point sur lequel la Cnil a demandé à cette société de se conformer lors de sa mise en demeure du 23 octobre 2018. La Cnil a ainsi, dans sa décision du 29 novembre 2018, relevé que la société SINGLESPOT a mis en place une politique de durée de conservation des données appropriée. Toutefois, la Cnil ne précise pas, à l’occasion de cette décision, les règles à respecter en matière de durée de conservation, en particulier des données de géolocalisation, et notamment lorsque les données sont traitées à des fins publicitaires. A titre d’exemple, la Cnil a indiqué, à l’occasion d’une recommandation du 25 juillet 2018, que les données de géolocalisation des véhicules de salariés ne doivent pas être conservées plus de deux mois par le responsable du traitement (4). Dans l’attente d’autres recommandations de la Cnil à ce sujet, il convient de mettre en place des durées de conservations adéquates et limitées au regard des finalités prévues pour le traitement concerné.

En outre, la société SINGLESPOT a pris des mesures de sécurité en interne. Elle a, notamment, mis en place un système d’authentification par mots de passe, afin d’accéder aux bases de données contenant des données à caractère personnel. La société SINGLESPOT a également prévu l’anonymisation des données à caractère personnel conservées dans ses bases de développement.

La conformité du traitement de données de géolocalisation à des fins de ciblage publicitaire réside, ainsi, dans une plus grande transparence de la part des responsables du traitement à l’égard des personnes concernées et la possibilité de donner à l’utilisateur un rôle déterminant dans la gestion de ses données.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Décision n°2MED-2018-023 du 29 novembre 2018 clôturant la décision n°MED-2018-023 du 25 juin 2018 mettant en demeure la société FIDZUP
(2) Décision n°2MED-2018-043 du 29 novembre 2018 clôturant la décision n°MED-2018-043 du 8 octobre 2018 mettant en demeure la société SINGLESPOT
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(4) Cnil, Post du 25 juillet 2018 sur la géolocalisation des véhicules des salariés




Condamnation de la société Uber à une amende de 400 000 euros

société Uber

La Cnil a condamné la société Uber à payer une amende de 400 000 euros en raison d’un manquement à l’obligation de sécurité des données personnelles.

Violation par la société Uber des exigences de protection des données

Le 19 décembre 2018, la Commission nationale de l’informatique et des libertés (Cnil), réunie en sa formation restreinte, a sanctionné la société de service de transport Uber pour manquement à ses obligations, conformément à la réglementation sur la protection des données à caractère personnel (1).

En novembre 2017, la société Uber avait admis avoir fait l’objet d’un piratage informatique, un an auparavant, à l’occasion duquel les données de 57 millions d’utilisateurs avaient été dérobées.

Les données concernées par ces attaques sont les nom, prénom, adresse de courrier électronique, ville ou pays de résidence, numéro de téléphone mobile et statut des utilisateurs (conducteur, passager ou les deux).

La société Uber, au courant de cette attaque un an auparavant, avait décidé de payer la somme de 100 000 dollars aux attaquants, afin qu’ils ne révèlent pas cette faille à leurs utilisateurs et qu’ils suppriment les données dérobées.

Les données des utilisateurs concernant, non seulement des utilisateurs français, mais également d’autres Etats membres de l’Union européenne, le groupe des Cnil européennes s’est réuni pour enquêter sur les raisons de cette attaque.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’enquête menée par les Cnil européennes a révélé que l’attaque aurait pu être évitée si certaines mesures de sécurité avaient été mises en place. La Cnil a ainsi condamné la société Uber pour ne pas avoir suffisamment sécurisé les données de ses utilisateurs.

L’attaque trouve son origine sur la plateforme GitHub, plateforme de travail privée utilisée par les ingénieurs logiciels chez Uber et sur laquelle leurs identifiants étaient stockés en clair. Le nom d’utilisateur était ainsi composé de leur email personnel, accompagné d’un mot de passe individuel.

Les attaquants ont ainsi utilisé ces identifiants pour se connecter à la plateforme GitHub sur laquelle ils ont trouvé une clé d’accès en clair permettant d’accéder à la plateforme d’hébergement sur laquelle étaient stockés les données à caractère personnel des utilisateurs de Uber. Cette clé a également permis aux attaquants d’accéder aux bases de données de la société Uber et ainsi de dérober les données personnelles de 57 millions d’utilisateurs.

La formation restreinte de la Cnil relève, dans sa délibération n°SAN-2018-011 du 19 décembre 2018, que l’accès aurait dû être encadré par des règles de sécurité adéquates, tant au regard des mesures d’authentification que des retraits d’habilitation des anciens ingénieurs, actions non mises en place par la société Uber.

Enfin, la formation restreinte de la Cnil considère que la sécurisation de la connexion aux serveurs « Amazon Web Services S3 » constitue une précaution élémentaire et qu’un filtrage des adresses IP aurait permis d’éviter ces connexions illicites.

Condamnation par la Cnil et publication de la décision

Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvait en France. Parmi eux se trouvaient 1,2 million de passager et 163 000 conducteurs. En raison de son manquement à son obligation de sécuriser ces données, la Cnil a condamné la société Uber France SAS à la somme de 400 000 euros d’amende et a publié la décision.

Les faits s’étant produits avant l’entrée en application du Règlement général sur la protection des données (RGPD), les sanctions prévues à l’article 83 du RGPD ne sont pas applicables en l’espèce.

A l’époque des faits s’appliquait la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés, modifiée par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique. En effet, la formation restreinte de la Cnil rappelle que le manquement concerné est un manquement continu qui s’est prolongé après le 7 octobre 2016, date d’entrée en vigueur de la loi pour une République numérique.

L’article 34 de la loi du 6 janvier 1978 modifiée dispose ainsi que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès. La société Uber a alors manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel des utilisateurs de son service.

En raison du nombre important de personnes concernées par cette violation de données, la Cnil a également décidé de rendre la sanction publique. En effet et par ce moyen, la Cnil entend sensibiliser les responsables du traitement sur les points ayant fait défaut à la société Uber.

Autres condamnations en Europe

Parmi les 57 millions d’utilisateurs concernés par le vol de leurs données, 1,4 million se trouvaient en France et les autres se trouvaient en dehors du territoire français.

Le 6 novembre 2018, l’autorité néerlandaise de protection des données a sanctionné la société Uber d’une amende de 600 000 euros pour avoir manqué à son obligation de notifier la violation de données. En effet, le piratage des données a eu lieu un an avant que la société Uber en informe les autorités compétentes. La société Uber avait fait le choix de payer les attaquants afin de dissimuler l’attaque.

L’obligation de notifier à la Cnil française n’est apparue qu’avec le RGPD et n’a donc pas fait l’objet de sanction en France en l’espèce, les faits étant intervenus avant l’entrée en application du RGPD.

Le 26 novembre 2018, l’autorité britannique a sanctionné la société Uber d’une amende de 385 000 livres, soit 426 000 euros, pour avoir manqué à son obligation de sécuriser les données.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Cnil, Délib. SAN-2018-011 du 19-12-2018




RGPD : les labels Cnil attribués au cabinet Lexing en 2018

La Cnil a attribué en 2018 au cabinet ses labels « Formation RGPD » et « Gouvernance RGPD ».

Labels Cnil 

Gouvernance RGPD – Par délibération en date du 24 mai 2018, la Cnil a délivré au cabinet le label « Gouvernance RGPD » pour la procédure de gouvernance tendant à assurer la protection des données au sein du cabinet. 

Formation RGPD – Par délibération en date du 21 juin 2018, la Commission a délivré au cabinet le label « Formation RGPD » pour sa formation intitulée « Lexing® formation Informatique et libertés ».

S’agissant de ces deux demandes de labellisation, la Cnil a reconnu que tant la procédure de gouvernance portant sur le RGPD que la formation Informatique et libertés précitées étaient conformes au référentiel auquel il se rapporte.

Ces deux labels sont délivrés pour une durée de trois ans.

Audit Informatique et libertés

Par une délibération du 30 juin 2016, le cabinet s‘était vu renouveler par la Cnil, également pour une durée de trois ans, son label « Audit de traitements » pour sa procédure d’audit intitulée « Lexing® audit Informatique et Libertés ».

Il s’agit des trois labels Cnil actuellement attribués au cabinet.


Label Cnil formation RGPD Lexing Alain Bensoussan Selas


Label Cnil Audit de traitements Lexing Alain Bensoussan Selas



 

 




Mise en demeure de la Cnil à l’encontre de la société Auxia

AuxiaLa société Auxia a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Auxia avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Auxia a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Auxia a utilisé ces données à des fins commerciales, et plus précisément pour proposer des produits d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

La Cnil a également constaté, que lors d’une campagne de prospection téléphonique, certaines conversations avaient été enregistrées sans que les personnes contactées ne soient systématiquement informées de cet enregistrement.

Il s’agit là d’un manquement au I de l’article 32 de la loi Informatique et Libertés, dans sa version applicable aux faits de l’espèce, qui impose de fournir à la personne concernée une information en cas d’enregistrement d’une conversation téléphonique.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Auxia en demeure de cesser le détournement de finalité précité et de procéder à l’information des personnes dont les données avaient été traitées, notamment en ce qui concerne les enregistrements téléphoniques, sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Auxia est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Auxia se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-036 du 25-9-2018
(2) Délibération n°2018-332 du 11-10-2018




Mise en demeure de la Cnil à la société Grand Est Mutuelle

Grand Est MutuelleLa société Grand Est Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

Au terme de ce contrôle, la Cnil a constaté que la société Grand Est Mutuelle avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Grand Est Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Grand Est Mutuelle a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Grand Est Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le Bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Grand Est Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Grand Est Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-035 du 25-9-2018
(2) Délibération n°2018-329 du 11-10-2018




Mise en demeure Cnil à la société Mutuelle Humanis Nationale

Mutuelle Humanis NationaleLa société Mutuelle Humanis Nationale a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle la Cnil a constaté que la société Mutuelle Humanis Nationale avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Mutuelle Humanis Nationale a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Mutuelle Humanis Nationale a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Mutuelle Humanis Nationale en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Mutuelle Humanis Nationale est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Mutuelle Humanis Nationale se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-038 du 25-9-2018
(2) Délibération n°2018-331 du 11-10-2018




Mise en demeure de la Cnil à la société Humanis Assurances

Humanis AssurancesLa société Humanis Assurances a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Humanis Assurances avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Humanis Assurances a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Humanis Assurances a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Humanis Assurances en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2) le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Humanis Assurances est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Humanis Assurances se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-037 du 25-9-2018
(2) Délibération n°2018-330 du 11-10-2018




Mise en demeure de la Cnil à la société Malakoff Médéric Mutuelle

Malakoff Médéric MutuelleLa société Malakoff Médéric Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société mutualiste du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Malakoff Médéric Mutuelle avait utilisé, à des fins de prospection commerciale, des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Malakoff Médéric Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Malakoff Médéric Mutuelle a utilisé ces données à des fins commerciales, et plus précisément pour proposer des contrats d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Malakoff Médéric Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Malakoff Médéric Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Malakoff Médéric Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Cnil, Décis. n°MED-2018-034 du 25-9-2018
(2) Cnil, Délib. n°2018-333 du 11-10-2018




Le guide de sensibilisation au RGPD pour les TPE et PME

sensibilisation au RGPDLe 17 avril 2018, la Cnil a publié sur son site internet un guide de sensibilisation au RGPD, adapté aux TPE et PME  (1).

A l’approche de l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018 (2), la Cnil et Bpi France ont élaboré ce document afin de guider et sensibiliser les TPE et PME dans leur processus de mise en conformité.

En effet, à compter du 25 mai 2018, les entreprises devront être conformes aux exigences du RGPD. Cependant, en fonction de la taille de l’entreprise, les attentes du régulateur, la Cnil en France, ne sont pas les mêmes.

Le volume de données à caractère personnel, le nombre de personnes concernées et la qualité des données traitées par une petite ou moyenne entreprise est en effet sans commune mesure avec celui d’une multinationale.

Elles n’ont pas pour activité principale le traitement des données à caractère personnel, celles-ci peuvent alors se perdre dans la quantité de dispositions du RGPD, toutes ne leur étant pourtant pas destinées.

Pour Isabelle Falque-Perrotin, Présidente de la Cnil :

« Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise.
Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai. »

L’objectif étant de rassurer les TPE et PME en s’adressant directement à elles mais également de leur permettre de prendre le tournant de la digitalisation en les aidant à en maitriser les outils de protection des données personnelles de leurs clients et salariés par cette sensibilisation au RGPD.

Ce guide de sensibilisation au RGPD comprend :

  • des fiches thématiques rappelant les grands principes du RGPD ;
  • les avantages pour l’entreprise ;
  • un plan d’action ;
  • l’application au sous-traitant ;
  • les bons réflexes à avoir ;
  • des fiches pratiques.

Le rappel des principes du RGPD

Le guide revient sur la construction du RGPD afin de comprendre pourquoi ce texte était devenu nécessaire, notamment en raison de l’évolution des technologies et d’un besoin d’harmonisation européenne.

La définition de donnée à caractère personnel est expliquée avec des exemples concrets.

1. Organismes concernés

Les organismes concernés par le RGPD sont définis avec des exemples pratiques. Il est expliqué que toute organisation est concernée dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

2. Données particulières

Le traitement des données à risque figure au chapitre 6 du guide. Il est expliqué aux TPE et PME les cas dans lesquels elles seraient concernées par un tel traitement et les mesures à prendre dans pareil cas, à savoir conduire une analyse d’impact sur la vie privée. Le « Dossier PIA » disponible sur le site de la Cnil permet de connaitre les cas dans lesquels une telle analyse est nécessaire et comment l’élaborer.

3. Transferts hors UE

De la même manière, en cas de transfert de données en dehors de l’Union européenne, le responsable du traitement doit prendre des précautions particulières. Le Guide renvoie au « Dossier transférer des données hors de l’UE » disponible sur le site de la Cnil pour en savoir plus.

4. Délégué à la protection des données

Dans certains cas, l’entreprise peut être conduite à désigner un DPD, délégué à la protection des données. En cas de traitement de données sensibles ou de traitement à grande échelle, cette désignation est obligatoire ; autrement elle est recommandée. Sur ce point, la Cnil a publié un « Dossier le délégué à la protection des données » disponible sur son site.

Les avantages pour les TPE/PME

L’entrée en application du RGPD présente des avantages pour ces entreprises, que ce guide  de sensibilisation au RGPD met en avant.

1. Renforcer la confiance

Le respect des droits personnes concernées quant à leurs données permet de renforcer la confiance qu’elles portent à l’entreprise et de valoriser son image.

2. Améliorer l’efficacité commerciale

En tenant les fichiers de prospection à jour, cela permet à l’entreprise de gagner en efficacité et en productivité.

3. Mieux gérer son entreprise

La collecte des données réellement nécessaire à l’entreprise et au traitement, correspondant au principe de minimisation des données introduit par le RGPD, permet à l’entreprise d’optimiser ses investissements.

En ne collectant que les données dont l’entreprise a vraiment besoin, elle gagne en espace de stockage, permet le recours à des logiciels adaptés et aux moyens humains nécessaires à leur gestion.

En tenant à jour la liste de ces fichiers, cela permet à l’entreprise de faire le point sur les données collectées et d’identifier ses besoins réels.

4. Améliorer la sécurité des données de l’entreprise

La conservation et le traitement des données à caractère personnel doivent être protégés par l’entreprise, par des mesures de sécurité particulières.

Cette disposition est l’occasion pour l’entreprise d’améliorer sa sécurité afin de protéger son patrimoine informationnel et de continuer son développement sans risquer de perdre ou de compromettre les données qu’elle traite.

5. Rassurer les clients donneurs d’ordre et développer son activité

Le respect des dispositions du RGPD par l’entreprise lui permettra de se démarquer des autres entreprises et ainsi d’obtenir un avantage concurrentiel.

6. Créer de nouveaux services

En développant de nouveaux outils permettant de se conformer au RGPD, l’utilisateur pourrait accéder à de nouvelles fonctionnalités, ce qui pourra entrer en compte dans sa décision d’achat.

Ce guide de sensibilisation au RGPD démontre ainsi les aspects positifs des dispositions du RGPD pour les entreprises et la manière dont les TPE et les PME pourraient en tirer un profit.

Le plan d’action

La Cnil et Bpi France proposent quatre actions principales à mener pour entamer la mise en conformité au RGPD. Chaque action montre l’avantage que cela va procurer à l’entreprise et est accompagnée d’un exemple pratique.

1. Recenser ses fichiers

A cet effet, l’entreprise identifiera ses principales activités nécessitant la collecte et le traitement de données et les listera dans un registre d’activité. Pour faciliter la tenue de ce registre, la Cnil renvoie au modèle proposé sur son site.

2. Faire le tri dans les données

Pour cela il est conseillé aux entreprises de ne traiter que les données nécessaires à ses activités, de contrôler les destinataires et le temps de conservation des données. Une vigilance particulière doit être portée aux données particulières.

3. Respecter le droit des personnes

Des mentions d’information doivent être portées à la connaissance des personnes concernées. Celles-ci doivent être informées que leurs données font l’objet d’un traitement, pour quelles finalités, sur quels fondements, quels en sont les destinataires, leur durée de conservation, la possibilité d’exercer leurs droits et l’existence d’un transfert en dehors de l’Union européenne. Afin d’aider les TPE et PME à remplir cette exigence, des exemples de mentions d’informations sont proposés sur le site de la Cnil.

Il convient également de permettre aux personnes concernées d’exercer effectivement leurs droits, à savoir : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité et à la limitation de traitement. Il est recommandé aux entreprises de mettre en place un processus interne pour le traitement des demandes.

4. Sécuriser les données

Les organismes doivent prendre les mesures nécessaires afin de garantir la sécurité des données. Différentes actions sont proposées et des « bonnes pratiques » sont mises en avant. En cas de violation des données, l’entreprise doit le signaler à la Cnil et, dans certains cas, à la personne concernée.

Pour aller plus loin sur ce point capital, le guide renvoie au « Guide des bonnes pratiques de l’informatique » réalisé par l’ANSSI et la CPME ainsi qu’au « Guide sécurité des données personnelles » disponible sur le site de la Cnil.

La sous-traitance

Le guide consacre un chapitre à la sous-traitance, les TPE et PME pouvant être concernées tant en qualité de responsable du traitement qu’en qualité de sous-traitant. Dans les deux cas il est rappelé qu’elles seraient concernées par le RGPD.

Les obligations spécifiques du sous-traitant sont énumérées, accompagnées d’exemples et de « bonnes pratiques ». Le Guide de sensibilisation au RGPD renvoie au « Guide RGPD pour les sous-traitants » pour en savoir plus.

Les bons réflexes de la protection des données à caractère personnel

Six reflexes à adopter pour garantir le traitement des données à caractère personnel conformément au RGPD sont proposés :

  1. ne collecter que les données vraiment nécessaires ;
  2. être transparent ;
  3. penser au droits des personnes ;
  4. garder la maitrise des données ;
  5. identifier les risques ;
  6. sécuriser les données.

Fiche pratique n°1 – les services en ligne

Cette fiche vise à aider les TPE et PME qui utilisent internet comme moyen de communication et/ou de prospection mais également pour vendre des produits en ligne.

1. Utilisation d’un site vitrine

Dans cette hypothèse, les seules données collectées sont celles renseignées dans un formulaire de contact ou un abonnement à une lettre d’information. A cet égard, il est rappelé aux entreprises que des mentions d’information doivent figurer au bas du formulaire, qu’il faut permettre aux personnes concernées d’exercer leurs droits et que l’éditeur du site doit être identifié dans les mentions légales. Il est renvoyé au site internet du service public pour en savoir plus.

2. Communication sur les réseaux sociaux

Il convient pour les entreprises concernées de prévoir le renvoi vers une page d’information sur les droits ainsi qu’une réponse type à adresser aux internautes insatisfaits.

3. Vente en ligne

Il est conseillé aux TPE et PME de se faire accompagner par un prestataire spécialisé, de s’assurer que la collecte des données est justifiée par le service et de toujours obtenir le consentement des personnes concernées, lesquelles doivent être informées de l’utilisation de leurs données.

Les TPE et PME sont invitées à sécuriser les données en ligne, informer leurs clients et leur donner la possibilité d’exercer leurs droits. Trois articles publiés sur le site internet de la Cnil permettent de mieux comprendre ces recommandations :

4. Utilisation des cookies

L’entreprise doit informer la personne concernée et obtenir son consentement. Pour en savoir plus, la Cnil propose son dossier « Site web, cookies et autres traceurs ».

Fiche pratique n°2 – la relation avec les clients

1. Prospection de nouveaux clients

Les règles applicables à la prospection commerciale, accompagnées d’exemples, sont rappelées aux entreprises, à savoir :

  • prendre des précautions dans l’utilisation de données disponibles en ligne ;
  • être vigilant sur les bases de données en vente sur internet ;
  • utiliser des fichiers dits « qualifiés », c’est-à-dire comportant des données fiables ;
  • permettre aux personnes concernées de refuser de recevoir une sollicitation commerciale, à ce titre la Cnil propose des modèles de recueil de consentement ou d’opposition sur son site internet.

2. Fidélisation des clients

Il est rappelé aux entreprises les conditions dans lesquelles les données à caractère personnel des personnes concernées peuvent être traitées :

  • ne collecter que les données nécessaires ;
  • obtenir le consentement des clients lorsque la collecte de leurs données est nécessaire, ainsi que le consentement au partage de ces données ;
  • informer les clients de l’utilisation de leurs données, dans les conditions générales de vente mais également par une mention d’information sur chaque formulaire de collecte ;
  • permettre aux personnes concernées d’exercer leurs droits d’accès, de rectification, d’opposition et d’effacement ;
  • prévoir des durées de conservation des données.

Des fiches pratiques « Commerce et données personnelles » sont disponibles sur le site de la Cnil afin de permettre aux TPE et PME d’approfondir ces points.

Fiche pratique n°3 – la relation avec les salariés

Après avoir rappelé les raisons pour lesquelles la protection des données à caractère personnel des salariés est essentielle, ainsi que les cas dans lesquels lesdites données peuvent être collectées, il est rappelé aux entreprises les règles à suivre pour le traitement de ces données, à savoir :

  • ne demander que les informations utiles à l’accomplissement de leurs missions ;
  • garantir la confidentialité et la sécurité des données ;
  • informer les salariés ou les candidats de ce traitement, des destinataires, des durées de conservation et de la mise en œuvre de leurs droits.

1. Le contrôle des salariés et ses limites

S’il est vrai que l’employeur peut surveiller son salarié, cette surveillance doit reposer sur un intérêt légitime de l’entreprise et être occasionnelle.

Afin d’être transparent avec ses salariés, l’employeur doit consulter les instances représentatives du personnel et informer ses employés de la mise en œuvre d’un dispositif de surveillance.

Afin d’aider les entreprises dans cette démarche, le Guide renvoie à des fiches pratiques « Travail et protection des données » disponibles sur le site de la Cnil.

2. Sensibilisation et formation des salariés

Il est important de sensibiliser les salariés sur tous les points du RGPD. Il est recommandé de diffuser une charte informatique au sein de l’entreprise afin de porter cette information à la connaissance de tous les employés.

Ce guide de sensibilisation au RGPD est ainsi l’occasion pour la Cnil de rappeler les grands principes du RGPD et d’en montrer l’application pour les TPE et PME, afin de les accompagner dans leur démarche et de les rassurer à l’approche de l’entrée en application du RPGD.

Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Guide de sensibilisation au RGPD : la Cnil et Bpi France s’associent pour accompagner les TPE et PME dans leur appropriation du Règlement européen sur la protection des données (RGPD), communiqué de la Cnil du 17-4-2018.

(2) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).




Alain Bensoussan participe au colloque des 40 ans de la loi 78-17

40 ans de la loiLe 29 mars 2018 se tiendra au Sénat un colloque organisé par la Cnil à l’occasion des 40 ans de la loi relative à l’informatique, aux fichiers et aux libertés.

Créée en 1978 par la loi Informatique et libertés, la Cnil – qui a elle-même fêté son 40e anniversaire le 25 janvier 2018 – célébrera le 29 mars 2018 les 40 ans de la loi du 6 janvier 1978 qui l’a instituée.

A cette occasion, sa présidente Madame Isabelle Falque-Pierrotin organise au Sénat, sous le haut patronage de son président Monsieur Gérard Larcher, un grand colloque sur le thème : « 40 ans de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : quel bilan ? » auquel participera Alain Bensoussan.

Deux tables rondes se tiendront à cette occasion :

15h00-16h00 : La loi Informatique et libertés a-t-elle tenu ses promesses ?

Sous la présidence de M. Christophe-André Frassa, secrétaire de la commission des lois du Sénat, ancien rapporteur du projet de loi pour une République numérique

La loi votée en 1978 offre-t-elle le cadre juridique nécessaire à la préservation de la vie privée des individus, tout en permettant un développement innovant des usages de la donnée ? Le rapport des citoyens à la vie privée devient de plus en plus complexe à mesure que s’accélère la numérisation de la société. Veulent-ils que leurs données personnelles soient protégées, pour quels usages et avec quelles contraintes ?

  • Lionel Maurel, juriste, cofondateur du collectif Savoirscom1, membre du collège d’orientation stratégique de l’association La Quadrature du Net, chargé de l’Information Scientifique et Technique à l’université Paris Lumières ;
  • Nicolas Arpagian, maître de conférences à l’Ecole Nationale Supérieure de la Police (ENSP), directeur scientifique du cycle Sécurité Numérique à l’INHESJ ;
  • Isabelle Bordry, cofondatrice de Retency, administratrice indépendante de la société mutuelle d’assurance Groupama et de la Réunion des Musées Nationaux et Grand Palais ;
  • Alain Bensoussan, avocat à la Cour d’appel de Paris, spécialisé en droit des technologies avancées.

16h00-17h00 : La loi Informatique et libertés à l’épreuve d’un monde numérique sans frontières

Sous la présidence de Mme Catherine Morin-Desailly, présidente de la commission de la culture du Sénat

La territorialité du droit à l’épreuve des données ? Le modèle européen de gouvernance, consacré par le règlement général sur la protection des données, peut-il s’exporter ? Quel pouvoir pour les citoyens dans un espace numérique sans frontière ?

  • Marc Mossé, directeur affaires publiques et juridiques, Microsoft Europe ;
  • Valérie Peugeot, membre de la Cnil, chercheuse au sein d’Orange Labs et Présidente de l’association Vecam ;
  • Milad Doueihi, historien des religions et titulaire de la chaire d’humanisme numérique à l’université de Paris-Sorbonne (Paris-IV), chaire thématique du Labex OBVIL et de la ComUE Sorbonne-Universités ;
  • Nicolas Colin, entrepreneur (fondateur de The Family) et essayiste français, coauteur d’un rapport sur la fiscalité de l’économie numérique.

17h00 – 17h30 : clôture par Madame Nicole Belloubet, Garde des Sceaux, ministre de la Justice.

 

« 40 ans de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : quel bilan ? »

Jeudi 29 mars 2018 de 14h30 à 17h30
(Accueil à partir de 14 heures)
Au Palais du Luxembourg
Salle Clémenceau
15, rue de Vaugirard
75006 Paris
Inscription obligatoire avant le 22 mars 2018 : https://www.cnil.fr/fr/colloque-40ans

 

Eric Bonnet
Directeur du Département Communication juridique




La SNCF expérimente l’analyse comportementale

La SNCF expérimente l’analyse comportementaleLa SNCF expérimente l’analyse comportementale via les caméras installées dans ses gares et ses trains. En collaboration avec la société Thalès, la SNCF a, en effet, lancé ce projet d’expérimentation en 2015 afin de faire face aux risques imminents d’actes terroristes.

La SNCF expérimente l’analyse comportementale dans ses gares et trains

Les caméras de surveillance installées dans ses gares et ses trains seront désormais équipées de logiciels d’analyse qui permettront d’identifier les comportements anormaux des usagers et des personnes circulant dans ses gares ou aux abords de ceux-ci.

A ces logiciels d’analyse, s’ajoutent d’autres dispositifs également en cours de tests, tels que des détecteurs de colis suspects, des caméras portatives détenus par des agents de sécurité, ainsi qu’une application smartphone permettant aux voyageurs de lancer l’alerte à partir de leurs téléphones en cas de comportements suspects.

La SNCF expérimente l’analyse comportementale de nos faits et gestes

Ces logiciels d’analyse ont vocation à recueillir un certain nombre de données qui pourront être analysées en temps réel et faire l’objet d’une alerte, le cas échéant, auprès des autorités compétentes.

Ces données pourront notamment porter sur des changements de température corporelle, des haussements de voix, des gestes saccadés, etc.

Actuellement en cours d’expérimentation par la SNCF, ces logiciels d’analyse devraient être amenés à être généralisés.

La SNCF expérimente l’analyse comportementale : l’enjeu des données personnelles

La position de la CNIL semble claire sur ce sujet puisqu’elle considère que :

« Il ne s’agit plus seulement aujourd’hui d’opérer le simple comptage du nombre de passagers ou de détecter automatiquement un objet abandonné, mais bien de permettre la détection automatisée de « comportements suspects ».

Ainsi, avant toute possible généralisation de ces logiciels à l’issue de leur expérimentation par la SNCF, il est fort à parier que la CNIL, du fait de sa compétence particulière en matière de vidéo-protection, leur portera une attention toute particulière et opèrera un contrôle très strict de leur conformité aux dispositions de la loi Informatique et libertés et du règlement européen qui entrera en application le 24 mai 2018.

En effet, même si les caméras existent déjà, leur nouvelle finalité, tirée de l’implémentation en leur sein de logiciels d’analyse comportementale, devrait nécessiter la mise en œuvre d’un nouveau contrôle par la CNIL, notamment sur :

  • l’obligation d’informer les usagers et leurs personnels sur l’existence de ces logiciels
  • les modalités de mise en œuvre de leurs droits d’accès, de modification, et de suppression des données les concernant recueillies par lesdits logiciels,

comme cela avait déjà été fait s’agissant des caméras portatives détenus par des agents de sécurité, dans le cadre de la délibération n°2016-387 du 8 décembre 2016 (1), adoptée par la CNIL, portant avis sur un projet de décret en Conseil d’Etat (décret adopté le 23 décembre 2016 (2)) portant application de l’article L.2251-4-1 du Code des transports et relatifs aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la RATP.

Cette délibération fait suite à celle du 29 septembre 2016 (3) autorisant la mise en œuvre par la société Thales Services d’un traitement automatisé de données à caractère personnel dans le cadre de recherches sur le développement et l’amélioration des algorithmes de reconnaissance faciale.

Marie-Adélaïde de Montlivault-Jacquot
Alexandra Massaux
Lexing Contentieux informatique

(1) Délib. 2016-387 du 8-12-2016 portant avis sur un projet de décret en Conseil d’Etat portant application de l’article L. 2251-4-1 du code des transports et relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la RATP
(2) Décr. 2016-1862 du 23-12-2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens
(3) Délib. 2016-296 du 29-9-2016 autorisant la société Thales services à mettre en œuvre un traitement automatisé de données à caractère personnel dans le cadre de recherches sur le développement et l’amélioration des algorithmes de reconnaissance faciale.




Rapport d’activité 2016 de la Cnil : bilan et tendances

Rapport d’activité 2016 de la CnilLe rapport d’activité 2016 de la Cnil vient d’être publié, dressant le bilan de ses actions et présentant sa doctrine de 2016. Cette année fut marquée à la fois par des évolutions réglementaires majeures mais également par des condamnations importantes (1).

Rapport d’activité 2016 de la Cnil : Des condamnations importantes

Des condamnations fortes, tout d’abord, un moteur de recherche (Délib. 2016-054 du 10-3-2016) (2) a été condamné à une amende de 100 000 euros. Cette amende est la deuxième amende (Délib. n°2013-420 du 3-1-2014) (3) la plus importante jamais prononcée par la Cnil.

De même, elle a mis en demeure deux géants du web (Délib. 2016-007 du 26-1-2016 (4) et Décision 2016-058 du 30-6-2016 (5)) pour des manquements à la loi Informatique et libertés.

Dans un autre registre, le parti socialiste (Délib. 2016-315 du 13-10-2016) (6) a fait l’objet d’un avertissement public en raison de failles de sécurité de données sensibles en ligne.

Cela démontre une volonté de la part de la Cnil de renforcer ses sanctions envers les entreprises.

Rapport d’activité 2016 de la Cnil : L’adoption de textes majeurs

La loi pour une République numérique (7) a été adoptée le 8 octobre 2016. Elle constitue un premier pas vers l’implémentation du Règlement européen. Elle renforce les pouvoirs de la Cnil et crée de nouveaux droits pour les personnes concernées.

De plus, la Commission européenne a adopté le 12 juillet 2016 une décision d’exécution (Décision Privacy Shield 2016/1250) (8) qui reconnaît aux mécanismes EU-US Privacy Shield un niveau de protection adéquat. En septembre 2017, se tiendra la première revue annuelle de l’accord qui vérifiera l’effectivité des garanties prévues.

Rapport d’activité 2016 de la Cnil : La priorité accordée au Règlement

Le G29 a adopté un plan d’action qui s’articule autour de deux axes principaux. Le premier axe sera la publication de lignes directrices afin de rendre l’application du RGPD la plus harmonieuse possible. Le second axe sera la construction d’un nouveau modèle de gouvernance des autorités. Il nécessitera la rédaction des procédures de coopération ainsi que de rendre opérationnel le Comité Européen à la protection des données.

De son côté, la Cnil met en place un plan d’action national dont les objectifs sont d’accompagner les professionnels, de transformer ses outils de conformité en standards européens et la conduite du changement en son sein.

Rapport d’activité 2016 de la Cnil : L’apport de précisions doctrinales et la fixation d’objectifs

La Cnil a profité de l’année 2016 pour revoir sa doctrine en matière de contrôle d’accès biométrique et pour préciser sa position concernant les dispositifs biométriques utilisés dans le cadre privé. Cette révision vise à permettre aux personnes de mieux maîtriser leurs données et anticiper l’application du RGPD.

De plus, elle s’est fixé comme objectif d’élaborer un pack de conformité dédié à l’open data, afin que la protection de la vie privée soit mieux prise en compte dans le nouveau contexte numérique.

La Cnil a également pris position sur les enjeux du chiffrement et des « portes dérobées ». Elle considère que la mise en place de tels dispositifs ou de clés maîtres fragilisent l’avenir de l’écosystème du numérique et la protection des données à caractère personnel.

La présidente de la Cnil a enfin réaffirmé que le RGPD (9) constitue une priorité absolue pour l’année 2017 tant pour les autorités de contrôle européennes que pour les entreprises et les organismes du secteur public. Il est donc essentiel de définir dès à présent un plan d’action précis et spécifique visant à se mettre en conformité pour le 25 mai 2018, date d’application du RGPD.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Cnil, 37ème rapport d’activité pour l’année 2016, cnil.fr, 2017.
(2) Délib. Cnil en formation restreinte n° 2016-054 du 10-3-2016 prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
(3) Délib. Cnil, n°2013-420 du 3-1-2014 prononçant une sanction de 150 000 euros à l’encontre de Google pour manquements aux règles de protection des données personnelles.
(4) Céline Avignon, Mise en demeure de Facebook par la Cnil, Alain-Bensoussan.com 9-2-2016, commentaire de la Délib. Cnil, 2016-007 du 26-1-2016, Facebook Inc et Facebook Ireland.
(5) Céline Avignon, Mise en demeure publique de Microsoft par la Cnil, Alain-Bensoussan.com 16-11-2016, commentaire de la Décision Cnil, 2016-058 du 30-6-2016, Microsoft Corporation.
(6) Délib. Cnil en formation restreinte, n° 2016-315 du 13-10-2016 Avertissement à l’encontre du Parti socialiste pour manquements à la sécurité, à la confidentialité et à la conservation des données.
(7) Loi pour une République numérique : ce qui va changer, Alain-Bensoussan.com 16-8-2016, présentation de la Loi pour une République numérique n°2016-1321 du 8-10-2016.
(8) Céline Avignon, La décision d’adéquation pour l’EU-US Privacy Shield, Alain-Bensoussan.com 13-7-2016, commentaire de la Décision d’exécution (UE) 2016/1250 du 12-7-2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
(9) Chloé Torres, Protection des données : adoption du règlement européen, Alain-Bensoussan.com 15-4-2016, présentation du Régl. (UE) 2016/679 du 27-04-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).




Quelles sont les sanctions Cnil à l’encontre des entreprises

Quelles sont les sanctions Cnil à l’encontre des entreprisesEn cas de violation de la loi Informatique et libertés, sont prévues des sanctions Cnil à l’encontre des entreprises.

La loi Informatique et libertés organise les sanctions Cnil à l’encontre des entreprises

Les détails de ce pouvoir de sanction se trouvent aux articles 45 et suivants de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, récemment modifiée par la loi pour une République numérique du 7 octobre 2016, déjà en vigueur. Certains précisions relatives à la procédure sont, par ailleurs, contenues dans le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°78-17 (art. 70 à 82), utile à consulter.

Ces pouvoirs de la Cnil peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Union européenne (L. 78-17, art 48).

En outre, le président de la Cnil ou sa formation restreinte peuvent, à la demande d’une autorité exerçant des compétences analogues aux leurs dans un autre Etat membre de l’Union européenne, prononcer ces sanctions (L. 78-17, art. 49), dans les conditions prévues par la loi, sauf s’il s’agit de traitements spécifiques, id est des traitements mis en œuvre pour le compte de l’Etat dont le contenu impose qu’ils soient autorisés par arrêté ministériel ou décret en Conseil d’Etat (Traitements mentionnés aux I et II de l’article 26 de la loi 78-17).

Sanctions Cnil à l’encontre des entreprises en cas de non-respect de leurs obligations

Le premier paragraphe de l’article 45 de la loi de 1978 prévoit que la Cnil peut prononcer plusieurs types de sanction dans le cas où le responsable d’un traitement ne respecterait par les obligations procédant de cette même loi.

Mesures préalables aux sanctions Cnil à l’encontre des entreprises

Dans un premier temps, le président de la Cnil peut mettre ce responsable en demeure (1) de faire cesser le manquement constaté dans un délai qu’il fixe, pouvant, dans un cas d’extrême urgence, être de 24h. Ce délai raccourci, qui remplace celui de 5 jours, est un des apports de la réforme opérée par la loi pour une République numérique. Si le responsable du traitement se conforme à la mise en demeure, le président de la Cnil prononce la clôture de la procédure.

Dans le cas contraire, c’est un autre organe de la Cnil, sa formation restreinte (2), qui prendra le relai et pourra, après une procédure contradictoire, prononcer différentes sanctions.

La Cnil pourra, d’abord, prononcer un avertissement.

Les sanctions Cnil à l’encontre des entreprises peuvent être pécuniaires

La Cnil pourra ensuite choisir de sanctionner pécuniairement le responsable du traitement, à l’exception des cas ou le traitement est mis en œuvre par l’Etat. Quant au montant de cette sanction pécuniaire, les règles entourant sa fixation ont été, elles aussi, modifiées par la loi pour une République numérique. Le nouvel article 47 de la loi du 6 janvier 1978 dispose désormais que le montant de l’amende ne peut excéder 3 millions d’euros (3), ce qui représente une multiplication par dix du plafond antérieur. Cette nouvelle version de l’article détaille également plus précisément qu’auparavant les critères pouvant être pris en compte dans l’évaluation de ce montant (4). Rappelons que lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Les sanctions Cnil à l’encontre des entreprises peuvent remettre en cause le traitement

La formation restreinte de la Cnil pourra, enfin, si le responsable d’un traitement ne respecte pas les obligations découlant de la loi de 1978, prononcer à son encontre une injonction de cesser le traitement ou retirer son autorisation au traitement, selon le type de traitement en cause (nécessitant, préalablement à sa mise en œuvre, une simple déclaration ou une autorisation).

Ces différentes sanctions peuvent être prononcées par la formation restreinte de la Cnil indépendamment d’une procédure de mise en demeure «lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure», par exemple dans des cas où la mise en conformité serait impossible puisque les données traitées auraient disparu. Avant la loi pour une République numérique du 7 octobre 2016, seul un avertissement pouvait être prononcé par la formation restreinte hors procédure de mise en demeure.

Les sanctions Cnil à l’encontre des entreprises en cas de violation des droits et libertés individuels et publics

Le second paragraphe de l’article 45 vise les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraine une violation des droits et libertés mentionnées à l’article 1er de la loi de 1978 (identité humaine, droits de l’homme, vie privée, libertés individuelles et publiques). La formation restreinte, saisie par le président de la Cnil, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat que l’on retrouve dans l’article 79 du décret du 20 octobre 2005, et après une procédure contradictoire, prononcer plusieurs types de sanctions.

Elle peut prononcer un avertissement. Elle peut, d’autre part, décider de l’interruption de la mise en œuvre du traitement ou le verrouillage de certaines des données à caractère personnel traitées, pour un durée maximale de trois mois, ces deux sanctions n’étant possibles que si le traitement en cause n’est pas au nombre de ceux mentionnés aux I et II de l’article 26 ou de l’article 27 de la loi de 1978 (traitements qui, au regard de leur contenu, doivent être autorisés par arrêtés ministériels, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil).

Pour les traitements qui relèvent précisément de ces articles, la formation restreinte peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.

Les sanctions Cnil à l’encontre des entreprises en cas d’atteinte grave et immédiate à ces droits et libertés

Enfin, le dernier paragraphe de l’article 45 permet au président de la Cnil de demander, en cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, par la voie du référé (5), à la juridiction compétente d’ordonner (le cas échéant sous astreinte) toute mesure nécessaire à la sauvegarde de ces droits et libertés.

Le prononcé de ces sanctions suit des règles procédurales contenues dans le décret du 20 octobre 2005 et dans le premier alinéa de l’article 46 de la loi de 1978 (6). Ce qui fait leur force est aussi leur impact sur la réputation des entreprises concernées ; aussi la loi de 1978 organise un système de publicité des sanctions Cnil (L. 78-17, art. 46 al. 2). La formation restreinte peut les rendre publique, ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées (encore une nouveauté de la loi pour une République numérique du 7 octobre 2016 !), et peut ordonner leur insertion dans des publications journaux et supports qu’elle désigne. Par ailleurs, le président de la Cnil peut demander au bureau de rendre publique la mise en demeure ou sa clôture. Ces sanctions sont motivées, notifiées au responsable du traitement et peuvent faire l’objet d’un recours en pleine juridiction devant le Conseil d’Etat (L. 78-17, art. 46 al. 3).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Pour plus de détails sur la procédure de mise en demeure, voir l’article 73 du décret 2005-1309 du 20 octobre 2005.
(2) Pour plus de détails sur la composition et le fonctionnement de la formation restreinte de la Cnil, voir l’article 70 du décret du 20 octobre 2005.
(3) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(4) « Le montant de la sanction (…) est proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Cnil prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».
(5) Des détails à ce propos se trouvent dans l’article 81 du décret du 20 octobre 2005.
(6) « Les sanctions (…) sont prononcées sur la base d’un rapport établi par l’un des membres de la Cnil, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général, les agents de service».

 




Guide des contrôles Cnil : comment s’y préparer

Guide des contrôles Cnil – Entreprises, comment s’y préparerAfin de s’y préparer convenablement, ce guide des contrôles Cnil présente comment ceux-ci se déroulent, quels sont les pouvoirs de la Cnil et quels sont ses obligations vis-à-vis des personnes contrôlées.

Guide des contrôles Cnil : qui est concerné ?

Le contrôle porte sur tout traitement de données à caractère personnel mis en œuvre, en tout ou partie, sur le territoire français, même lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de l’Union européenne (L. 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, art. 48).

Le responsable de traitement est le représentant légal de l’entreprise alors que le responsable des lieux est la personne habilitée, au sein des locaux contrôlés, à représenter l’organisme responsable du traitement, par exemple du fait d’une délégation de pouvoir.

Guide des contrôles Cnil : qui en a l’initiative ?

C’est la Cnil qui a l’initiative du contrôle, sur décision de son Président après proposition des services de contrôle, qui peut faire suite à :

  • Une déclaration, une demande d’avis ou d’autorisation de traitement.
  • Une plainte, une réclamation, une pétition, une alerte d’un tiers même pas lettre simple.
  • La demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne.
  • La demande d’une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l’Union européenne dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel.
  • Lorsque l’organisme en question est inscrit dans le programme annuel thématique des contrôles de la Cnil.
Guide des contrôles Cnil : que peut-elle vérifier ?

L’objectif de la Cnil est de vérifier que la règlementation Informatique et libertés et bien respectée par les entreprises contrôlées. Ces dernières sont passibles de sanctions administratives (prononcées directement par la Cnil) et pénales.

Guide des contrôles Cnil : comment se passent-ils ?

Selon l’article 44 de la loi du 6 janvier 1978, il existe trois types de contrôle :

Guide des contrôles Cnil : comment en être informé ?

Conformément aux articles 61 et suivants du décret n° 2005-1309 du 20 octobre 2005 (modifié) pris pour l’application de la loi n°78-17 du 6 janvier 1978, la Cnil doit informer de :

  1. L’objet du contrôle.
  2. L’identité et la qualité des personnes contrôlées.
  3. Le cas échéant le droit d’opposition.

La Cnil doit donner ces informations aux personnes suivantes :

  • Le Procureur de la République territorialement compté au plus tard 24h avant la date du contrôle sur place (D. 2005-1309, art. 61).
  • Le responsable du traitement au plus tard au début du contrôle sur place ou, en cas d’absence, dans les huit jours suivant le contrôle. L’information préalable du responsable du traitement est une décision prise en opportunité par la Cnil (D. 2005-1309, art. 62).
  • Le responsable du traitement, lorsque le contrôle se déroule sur audition, doit être convoqué au moins 8 jours avant la date du contrôle, par lettre remise contre signature ou remise en main propre contre récépissé ou acte d’huissier (D. 2005-1309, art. 66).
  • Lorsque le contrôle de la Cnil est effectué à la demande d’une autorité de contrôle d’un Etat membre de l’Union européenne, en application de l’article 49 de la loi de 1978, le responsable du traitement doit en être informé ainsi que du fait que les informations recueillies ou détenus par la Cnil sont susceptibles d’être communiquées à cette autorité (D. 2005-1309, art. 63).
  • Lorsque le Président de la Commission saisit le juge des libertés et de la détention, sur le fondement de l’article 44, II de la loi du 6 janvier 1978 afin que celui-ci autorise la visite sur place, le juge statue dans un délai de 48h. L’ordonnance, qui doit comporter l’adresse des lieux à visiter, le nom et la qualité de ou des agents habilités, ainsi que les heures auxquelles ils sont autorisés à se présenter, est notifiée sur place du moment de la visite au responsable des lieux ou à son représentant. En leur absence, l’ordonnance est notifiée, après la visite, par lettre recommandée avec demande d’avis de réception. A défaut de réception de la lettre recommandée, il est procédé à la signification de l’ordonnance par acte d’huissier de justice (D. 2005-1309, art. 62-1).

Il peut, en outre, être demandé au responsable du traitement visé par un contrôle de préparer tous documents de nature à faciliter son déroulement (Règlement intérieur de la Cnil, art. 54).

Guide des contrôles Cnil : peut-on s’y opposer ?

Droit d’opposition. Conformément à l’article 44, II de la loi du 6 janvier 1978, le responsable des lieux contrôlés est informé de son droit à s’apposer à ce contrôle. S’il exerce ce droit :

  • Les motifs de son opposition sont portés au procès-verbal dressé par les agents de la Cnil.
  • Les opérations de contrôle ne peuvent intervenir qu’après autorisation du juge des libertés et de la détention compétent, qui dispose de 48h pour accepter ou refuser la demande.

Opposabilité du secret professionnel. Le responsable des lieux peut s’opposer au contrôle sur le fondement du secret professionnel. Dans ce cas, il doit indiquer les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel. Le secret professionnel ne peut concerner que les fichiers comportant des éléments confidentiels. La mention de l’opposition, son fondement textuel, ainsi que la nature des données couvertes par le secret professionnel figurent sur le procès-verbal (D. 2005-1309, art. 69).

Exception. En cas d’urgence, de risque de destruction ou de dissimulation de documents, ou lorsque la gravité des faits le nécessite, le contrôle peut intervenir sans information du responsable des lieux et sur autorisation préalable du juge des libertés et de la détention compétent. Le responsable des lieux n’est alors pas en mesure de s’opposer au contrôle.

Guide des contrôles Cnil : en cas d’autorisation judiciaire

Si le contrôle a dû être autorisé par le juge, il est placé sous son autorisation et contrôle. Il doit alors avoir lieu en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle (L. 78-17, art. 44, II). Attention, les personnes chargées du contrôle n’ont aucune obligation d’attendre l’arrivée de l’avocat pour effectuer les opérations de contrôle.

L’ordonnance ayant autorisé le contrôle mentionne que le juge peut être saisi à tout moment d’une demande de suspension ou d’arrêt de la visite. Elle indique également le délai et la voie de recours (appel devant le premier président de la Cour d’appel) (L. 78-17, art. 44, II).

Guide des contrôles Cnil : peut-on s’y opposer ?

Conformément à l’article 51 de la loi du 6 janvier 1978, le délit d’entrave à l’action de la Cnil est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Ce délit est constitué par :

  • Le refus de se soumettre à l’exercice de vérifications malgré l’autorisation du juge des libertés et de la détention.
  • Le refus de communiquer aux membres et agents habilités de la Cnil les renseignements et documents utiles à leur mission en les dissimulant ou en les faisant disparaitre.
  • La communication d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.
Guide des contrôles Cnil : où et quand ont-ils lieu ?

Conformément à l’article 44 de la loi du 6 janvier 1978, les membres et les agents habilités de la Cnil peuvent procéder à des opérations de contrôle de traitement dans les locaux du responsable entre 6 heures et 21 heures.

Toujours conformément à l’article précité, pour l’exercice de leurs missions, les membres et agents habilités de la Cnil ont accès aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé. Il en ressort qu’un local à usage professionnel situé dans un domicile peut faire l’objet d’un contrôle et que seuls les locaux à usage exclusivement privatif demeurent hors du champ d’intervention des membres et agents habilités de la Cnil.

Guide des contrôles Cnil : quelles sont les personnes habilitées ?

Par délibération, les membres et agents de la Cnil reçoivent habilitation pour procéder à des opérations de contrôle sur place (L. 78-17, art. 19). Une carte professionnelle leur est remise à cet effet et leur permet d’attester qu’ils ont été habilités à effectuer lesdits contrôles.

Cette habilitation est valable pour une durée de cinq ans renouvelable (D. 2005-1309, art. 57). Toutefois, elle peut faire l’objet d’une suspension pour une durée maximale de six mois, voire d’une suspension définitive lorsque la personne n’exerce plus les missions concernées (D. 2005-1309, art. 60).

L’habilitation et l’ordre de contrôle de mission des agents chargés de procéder aux opérations de contrôle sur place doivent pouvoir être présentés sur demande (D. 2005-1309, art. 62).

Guide des contrôles Cnil : quels pouvoirs ont les agents ?

Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel.

Dans le cadre des opérations de contrôle, les membres et agents habilités (L. 78-17, art. 44, III) sont autorisés à :

  • Obtenir communication et copie de tout document, quel qu’en soit le support, leur permettant d’apprécier les conditions dans lesquelles des traitements automatisés de données à caractère personnel, notamment en termes de sécurité, d’information des personnes, de modalités de collecte des données, sont mis en œuvre. Il peut s’agir de :
    • Contrats (location de fichiers, sous-traitance informatique etc.),
    • Formulaires,
    • Dossiers papiers,
    • Bases de données informatiques, etc.
  • Accéder aux programmes informatiques et aux données.
  • Demander la transcription de tout document directement utilisable pour les besoins du contrôle.
  • Recueillir tout renseignement technique ou juridique ou toute justification utile à l’accomplissement de leur mission.

La Cnil peut également, dans le cadre de sa mission de contrôle, convoquer toute personne dont l’audition lui parait utile et nécessaire (dans les conditions fixées par l’article 66 du décret 2005-1309).

Sur autorisation du Président de la Cnil, les membres et agents habilités peuvent se faire adjoindre des experts (dans les conditions fixées par les articles 67 et suivants du décret 2005-1309).

Guide des contrôles Cnil : le nouveau contrôle en ligne

Enfin, la Cnil dispose, depuis la loi « Hamon » de mars 2004 (L. 2014-344 du 17-3-2014 relative à la consommation) d’un nouveau moyen de contrôle lui permettant de procéder à des constations en ligne depuis ses propres locaux, hors la présence du responsable du traitement. Ce nouveau pouvoir s’applique aux données librement accessibles ou rendues accessibles en ligne, y compris par imprudence, négligence ou par le fait d’un tiers (1) et peut-être complémentaire à un autre contrôle.

Guide des contrôles Cnil : le procès-verbal de constatation

Le procès-verbal de constatation est établi sur la base des éléments recueillis lors du contrôle et contient, conformément à l’article 64 du décret du 20 octobre 2005 :

  • L’objet de la mission de contrôle,
  • La nature du contrôle,
  • Le jour et l’heure des opérations de contrôle,
  • Le lieu de vérifications ou des contrôles effectués,
  • Les membres présents lors du contrôle,
  • Les personnes rencontrées,
  • Les contrôles effectués,
  • Les éventuelles difficultés rencontrées,
  • Le cas échéant, l’opposition au contrôle du responsable des locaux sur le fondement du secret professionnel, les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel.

En annexe doit figurer l’inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie. S’agissant de la mise sous scellé des différents éléments saisis, la loi est silencieuse.

Guide des contrôles Cnil : la portée du procès-verbal

La loi prévoit que le procès-verbal doit être établi contradictoirement par les agents de la Cnil et le responsable des lieux. A cet égard, le responsable des lieux ou son représentant a la possibilité d’émettre des réserves et des commentaires.

Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou son représentant. En cas de refus ou d’absence de celles-ci, mention en est portée au procès-verbal.

Le procès-verbal est notifié au responsable du traitement et au responsable des lieux par lettre recommandé avec accusé de réception.

La loi ne prévoit pas la nullité du procès-verbal en cas d’absence de l’une des informations précitées. En outre, elle ne prévoit aucune restitution des copies des documents et données. Toutefois, leur conservation ultérieure fait l’objet d’une procédure particulière définir par le service des contrôles afin d’en garantir la confidentialité, l’authenticité et la sécurité.

Pour finir, les membres et agents de la Cnil ayant procédé au contrôle sur place sont soumis à une obligation de confidentialité.

Guide des contrôles Cnil : que se passe-t-il ensuite ?

A la suite du contrôle, la Cnil examine les documents dont copie a été réalisée pour apprécier si les dispositions de la loi Informatique et libertés ont été respectées.

Lorsque l’examen n’appelle pas d’observations particulières, un courrier est adressé par le Président de la Cnil au responsable de traitement. Ce courrier peut contenir des recommandations telles que les modifications des durées de conservation ou des mesures de sécurité.

Lorsque l’examen fait ressortir des manquements sérieux, le dossier est transmis à la formation contentieuse de la Cnil, transmission non exclusive d’une dénonciation au parquet. En effet, conformément à l’article 40 du code de procédure pénale, la Cnil a le devoir d’informer sans délai le procureur de la République des infractions dont elle a connaissance suite au contrôle. A cet égard, le Conseil d’Etat a précisé que les faits devant être portés à la connaissance du procureur de la République devaient lui paraitre suffisamment établis et porter une atteinte caractérisée aux dispositions dont elle a pour mission d’assurer l’application (2).

Guide des contrôles Cnil : quelles sont les voies de recours ?

Selon l’article 62-3 du décret du 20 octobre 2005, le premier président de la Cour d’appel connait des recours contre le déroulement des opérations de visite autorisée par le juge des libertés et de la détention.

Il s’agira, dans les autres cas, d’un recours administratif contre la Cnil.

Guide des contrôles Cnil : quelques conseils

Les principaux conseils que l’on peut donner, à la fois en prévision et lors d’un contrôle Cnil :

  • Anticiper un contrôle en s’interrogeant sur le respect, par ses traitements, de la règlementation Informatique et libertés.
  • Mettre en place une procédure interne applicable en cas de contrôle de la Cnil, afin que ce dernier se déroule dans les meilleurs conditions possibles tant pour le responsable que pour les agents de la Cnil.
  • Former et informer son personnel.
  • Vérifier, lors du contrôle, que le cadre légal est respecté (information, conditions horaires du contrôle, habilitation des agents de contrôle, établissement du procès-verbal etc.).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) « ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle », selon le nouvel article 44, III de la loi 78-17.
(2) CE 27-10-1999 n°196306 : RJDA 4/00 n°498.




Procédure à suivre devant la formation restreinte de la Cnil

Procédure à suivre devant la formation restreinte de la Cnil

La loi pour une République numérique modifie la procédure de sanction devant la formation restreinte de la Cnil.

Les modifications de la procédure de sanction

La loi pour une République numérique du 7 octobre 2016 opère une refonte de la procédure de sanction devant la formation restreinte de la Cnil. Avant cette loi, en cas de manquement à la loi Informatique et libertés par le responsable de traitement, la formation restreinte de la Cnil ne pouvait pas prononcer de sanction financière sans mise en demeure préalable. En effet, une sanction financière ne pouvait être prononcée que pour sanctionner le non-respect d’une mise en demeure.

Désormais, la formation restreinte de la Cnil peut prononcer une sanction financière directement, sans mise en demeure préalable lorsque le manquement ne peut pas faire l’objet d’une mise en conformité.

Lorsque le manquement peut faire l’objet d’une mise en conformité, alors la formation restreinte de la Cnil devra, si elle veut sanctionner financièrement le responsable de traitement, constater qu’il n’a pas respecté la mise en demeure initiale.

Les conséquences de la modification

Cette modification devrait avoir pour conséquence de permettre à la formation restreinte de la Cnil de prononcer plus de sanctions financières et plus rapidement dans la mesure où elle n’est plus tenue de mettre en demeure préalablement le responsable de traitement si le manquement ne peut faire l’objet d’une mise en conformité.

A cet égard, il conviendra de surveiller les futures délibérations de la Cnil pour établir une cartographie des manquements qui seraient susceptibles d’une mise en conformité de ceux qui ne le seraient pas. En tout état de cause, il est essentiel dans ce nouveau cadre procédural, pour le responsable de traitement qui ferait l’objet d’un contrôle, de prendre les mesures correctives qui s’imposent dès la fin du contrôle pour démontrer à la Cnil préalablement à sa décision que les manquements pouvant être reprochés sont de nature à faire l’objet d’une mise en conformité afin de tenter d’éviter la procédure d’avertissement ou de sanction.

Cette démarche s’impose d’autant plus qu’en cas d’ « extrême urgence » (2), le délai accordé au responsable de traitement pour se mettre en conformité après mise en demeure est ramené à 24 heures au lieu de 5 jours auparavant.

Hors cas d’urgence, le délai est fixé par le Président de la Commission. Il ne peut être inférieur à 10 jours et ne peut être supérieur à 3 mois renouvelable une fois.

Cette modification des possibilités de sanctions financières directes n’est pas négligeable et devrait modifier l’appréciation des risques « Cnil » des responsables de traitement. En effet, ajoutée à l’augmentation des pouvoirs de sanctions financières de la Cnil (3 millions d’euros), la nature du contentieux Cnil et les risques auxquels un responsable de traitement serait exposé est sans commune mesure avec ce qui existait auparavant. Ceci n’est qu’un début de la mutation puisque le règlement européen sur la protection des données personnelles du 27 avril 2016 envisage des montants de 10 à 20 millions ou 2 à 4 % du chiffre d’affaires mondial (3).

A titre de comparaison, le contentieux Cnil va connaître la même métamorphose que celui du droit de la concurrence qui a profondément été modifié par la loi du 15 mai 2001 qui a fait passé le montant de la sanction pour pratiques anticoncurrentielles de 5% du chiffre d’affaires réalisé en France à 10% du chiffre d’affaires mondial (4).

Lexing Alain Bensoussan Avocats

(1) Loi 2016-1321 du 7-10-2016
(2) Loi 78-17 du 6-1-1978, art. 45
(3) Règlement (UE) 2016/679 du 27-4-2016
(4) Article L 464-2 du code de commerce tel que modifié par la loi n° 2001-420 du 15 mai 2001 relative aux nouvelles régulations économiques




Nouvelle recommandation de la Cnil sur les mots de passe

Nouvelle recommandation de la Cnil sur les mots de passeLa Cnil précise sa doctrine en matière de mots de passe et distingue selon les mesures complémentaires mises en oeuvre.

Le mot de passe et l’identifiant : le couple roi de l’authentification des services numériques

Le couple mot de passe et identifiant est la solution la plus utilisée en matière d’authentification. Néanmoins, ce mode d’authentification n’est pas des plus sûrs. En effet, tout d’abord, les utilisateurs utilisent souvent le même mot de passe pour plusieurs services numériques, ce qui affecte sa robustesse.

Par ailleurs, la multiplication des attaques informatiques et la compromission de base de données clients contenant les mots de passe associés aux comptes des personnes concernées améliore la connaissance des fraudeurs en matière de mots de passe et rend ces derniers moins efficaces.

Pour ces principales raisons, la Cnil considère que d’autres moyens comme par exemple l’authentification à double facteur ou les certificats électroniques, présentent plus de garanties.

Néanmoins, et dans le respect du principe de réalisme économique, elle n’interdit pas l’utilisation des mots de passe mais renforce ses exigences tout en tenant compte des autres mesures prises.

La Cnil précise que sa recommandation (1) fixe les modalités techniques minimales relatives à une authentification basée sur des mots de passe et précise que les risques spécifiques qu’un traitement peut faire peser sur la vie privée des personnes peut exiger des mesures plus rigoureuses.

La Cnil effectue des recommandations en reprenant les principales étapes de gestion d’un mot de passe.

En ce qui concerne les règles de composition de mots de passe, la Cnil distingue quatre situations. Pour en faciliter la compréhension, ces quatre situations sont reprises sous forme de tableau.

Les modalités d’authentification

La Cnil précise les exigences relatives aux modalités techniques d’authentification. A cet égard, lorsqu’elle n’a pas lieu en local, elle impose une mesure de contrôle de l’identité du serveur d’authentification au moyen d’un certificat d’authentification et un canal de communication chiffré à l’aide d’une fonction de chiffrement sûre avec un algorithme public réputé fort.

La conservation des mots de passe

La Cnil rappelle que le mot de passe ne doit jamais être stocké en clair. A cet effet, il est recommandé d’utiliser un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue utilisant un sel ou une clé.

Le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé générée avec un générateur de nombres pseudo aléatoires cryptographiquement sûr.

Le sel ou la clé ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.

Le renouvellement des mots de passe

La Cnil précise également les modalités concernant le renouvellement des mots de passe. A cet égard, elle précise que :

  • le renouvellement doit être systématique en cas de compromission ;
  • il doit s’effectuer selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.

La personne concernée doit pouvoir procéder elle-même au changement du mot de passe.

Lorsqu’une intervention d’un administrateur est requise, la procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur à la première connexion de la personne. La Cnil insiste sur le fait que le mot de passe ne doit pas être transmis en clair et recommande que la personne soit redirigée vers une interface lui permettant de saisir un nouveau mot de passe, étant précisé que l’interface ne devrait pas être disponible plus de 24h et ne permettre qu’un renouvellement.

Lorsque plusieurs éléments comme le numéro de téléphone, l’adresse postale, sont utilisés pour le renouvellement, la Cnil recommande de ne pas les conserver dans le même espace de stockage que l’élément de vérification du mot de passe ou alors de les conserver sous une forme chiffrée à l’aide d’un algorithme public réputé fort.

Elle précise également que la personne concernée doit être immédiatement informée du changement de ces éléments pour prévenir tout tentative de fraude.

Les responsables de traitement doivent intégrer dès aujourd’hui ces recommandations dans leur politique de sécurité et de mots de passe car elles constituent dorénavant le référentiel à partir duquel la Cnil opérera ses contrôles.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Délibération 2017-012 du 19-1-2017, Communiqué du 27-1-2017 et Conseils « pour un bon mot de passe  »




Les sanctions Cnil après la loi pour une République numérique

Les sanctions Cnil après la loi pour une République numériqueLa loi pour une République numérique modifie la loi Informatique et libertés concernant les sanctions de la Cnil. La loi pour une République numérique du 7 octobre 2016 (1) modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment quant à la question des sanctions que la Cnil peut prononcer et la procédure qu’elle doit suivre, le cas échéant. D’une manière générale, il ressort de l’examen de ces nouvelles dispositions que la Cnil a vu ses pouvoirs de sanction renforcés.

Lorsque le responsable du traitement ne respecte pas les obligations découlant de la réglementation relative à la protection des données à caractère personnel, le président de la Cnil peut le mettre en demeure de faire cesser le manquement en question dans un délai qu’il fixe, qui peut, en cas d’extrême urgence, être de 24 heures (2). Là réside une première modification opérée par la loi pour une République numérique, puisque le délai d’extrême urgence s’élevait auparavant à 5 jours.

La Cnil, dans sa délibération portant avis sur le projet de loi qui préconisait déjà ce délai de 24 heures se félicite de cette modification, considérant « que le délai de cinq jours ne peut plus être considéré comme pertinent au regard de l’immédiateté des conséquences pour les personnes des manquements (…)» (3).

Si le responsable du traitement se conforme à la mise en demeure, le président de la Commission prononce la clôture de la procédure. Dans le cas contraire, la formation restreinte de la Cnil peut prononcer, après une procédure contradictoire, différentes sanctions : un avertissement, une sanction pécuniaire (à l’exception des cas où le traitement est mis en œuvre par l’Etat), une injonction de cesser le traitement, quand ce dernier fait partie de ceux nécessitant une simple déclaration ou un retrait de l’autorisation accordée dans les cas où celle-ci est prescrite.

Si la mise en conformité, dans le cadre d’une mise en demeure, est impossible –c’est-à-dire que le responsable du traitement ne pourra pas, dans tous les cas, rendre sa situation conforme aux prescriptions légales- la formation restreinte peut prononcer toutes ces sanctions directement et sans mesure préalable, id est sans passer par le pouvoir propre du président de mettre en demeure. En effet cette mise en demeure, qui ne peut qu’échouer, est inutile.

Auparavant, la formation restreinte ne pouvait, hors procédure de mise en demeure, ne prononcer qu’un avertissement. La loi pour une République numérique permet ainsi une meilleure réactivité et efficacité de la procédure de sanction, grâce à une nouvelle distribution des rôles entre organes compétents.

Par ailleurs, elle renforce le rôle de dissuasion des pouvoirs de la Cnil, puisque les montants maximum des sanctions pécuniaires, sur le fondement de l’article 45 I 2° de la loi du 6 janvier 1978, ont été significativement revus à la hausse. En effet, l’amende peut désormais s’élever jusqu’à 3 millions d’euros (4), ce qui représente une multiplication par dix du plafond antérieur (5).

Les critères d’appréciation pouvant être pris en compte pour évaluer le montant de cette amende, qui doit être« proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement » ont, en outre, été détaillé pour permettre à la Cnil de prononcer une sanction plus juste et éclairée.

La formation restreinte prend ainsi notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Ces nouvelles règles restent cependant très en-deçà de ce que prévoit le nouveau règlement européen sur la protection des données à caractère personnel du 27 avril 2016, qui entrera en vigueur le 25 mai 2018. A titre d’exemple, ce dernier prévoit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuels mondial total de l’exercice précédent, le montant le plus élevé étant retenu (6).

Des difficultés d’articulation entre la loi et le règlement pourraient apparaître et certains déplorent que les nouveaux montants français ne soient toujours pas assez dissuasifs puisqu’il resterait, par exemple pour les multinationales, plus facile de s’acquitter de l’amende plutôt que d’appliquer la réglementation. Affaire à suivre.

Des modifications sont aussi apportées par la loi pour une République numérique dans les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article premier (soit l’identité humaine, les droits de l’homme, la vie privée et les libertés individuelles ou publiques), visés à l’article 45 II de la loi de 1978.

La formation restreinte peut, si elle constate cette violation, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat (7) et après une procédure contradictoire, prononcer différentes sanctions.

Elle doit pour cela être saisie par le président de la Cnil alors qu’elle avait auparavant la charge d’engager la procédure d’urgence.

La version finale de la loi a ainsi tenu compte de l’avis de la Cnil du 19 novembre 2015 relatif au projet de la loi pour une République numérique, qui ne prévoyait pas cette saisine de la formation restreinte par le président. La Cnil l’avait recommandé notamment pour prendre en compte le principe de séparation des fonctions d’instruction et de jugement.

Les sanctions de ce type de violation demeurent, elles, inchangées et sont les suivantes : la Cnil peut prononcer un avertissement. Elle peut, en outre, décider de l’interruption du traitement ou du verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois (sauf pour certains traitements spécifiques qui, au regard de leur contenu, ont dû être autorisés par arrêté ministériel, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil (8)).

S’il s’agit de ces traitements spécifiques, la Cnil peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation.

La loi pour une République numérique ne modifie pas, par ailleurs, la possibilité pour le président de la Cnil de demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde des droits et libertés mentionnés à l’article 1premier en cas d’atteinte grave à ces derniers (9), pas plus qu’elle ne modifie les règles de compétence dans le cadre desquels la Cnil peut prononcer toutes les sanctions vues précédemment (ces pouvoirs peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’une autre Etat membre de l’Union européenne (10)).

Ces sanctions peuvent toujours être prises par la Cnil à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne, sauf pour certains traitements spécifiques (11).

Pour finir, la loi pour une République numérique modifie l’article 46 de la loi de 1978 relativement à la publicité des sanctions prononcées par la Cnil. En effet, la formation restreinte peut désormais ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées.

Cela complète le dispositif déjà existant, permettant à la formation restreinte de rendre publiques les sanctions qu’elle prononce, d’ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le président peut, également, demander au bureau de rendre publique la mise en demeure ou sa clôture. Une publicité efficace des décisions de la Cnil ne peut que renforcer le rôle dissuasif de ses pouvoirs de sanction, faisant craindre aux entreprises –outre des mesures correctives ou pécuniaires- une atteinte à leur réputation.

En ce qui concerne le reste de l’article 46, les détails de procédure (rapport, rôle du rapporteur, personnes pouvant être entendus par la Cnil, décisions motivées et notifiées au responsable susceptibles de recours en pleine juridiction devant le Conseil d’Etat) restent inchangés.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 2016-1321 pour une République numérique du 7-10-2016
(2) Loi 78-17 du 6-1-1978, nouvel art. 45 I
(3) Cnil, Délibération 2015-414 du 9-11-2016
(4) Loi 78-17 du 6-1-1978, art. 47
(5) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq ans à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaire hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(6) Règlement (UE) 2016/679 du 27-4-2016, art. 83
(7) Décret 2005-1309 du 20-10-2005, art. 79 et s.
(8) Traitements mentionnés aux I et II de l’article 26 et à l’article 27 de la loi du 6 janvier 1978
(9) Loi 78-17 du 6-1-1978, art. 45 III
(10) Loi 78-17 du 6-1-1978, art. 48
(11) Loi 78-17 du 6-1-1978, art. 49