Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Vers l’adoption prochaine d’un Cloud act européen ?

Cloud act européenBientôt un Cloud act européen dans le sillage américain pour rétablir l’égalité des armes dans les enquêtes internationales.

Le Clarifying Lawful Overseas Use of Data act, adopté en avril 2018, dont l’acronyme est Cloud act (1) a suscité un vif émoi en Europe. Désormais un prestataire hébergeant des données intéressant la justice américaine pour des infractions de droit commun est contraint de les fournir sur réquisition, même si les données se trouvent physiquement hors des Etats-Unis d’Amérique et sous le contrôle d’une société n’étant pas de droit américain.

Le Gouvernement français ne s’est pas encore prononcé sur l’impact du Cloud act en France (2). La Commission européenne, elle, a très rapidement réagi (3) et travaille à un projet de règlement et de directive qui institueraient un Cloud act européen (4).

Cloud act européen : le projet de règlement E-evidence

Comme pour le Cloud Act américain, c’est le constat de la lenteur et de la lourdeur des procédures de coopération judiciaire existantes qui justifie une révision profonde du droit.

Différents mécanismes d’injonction de communication et de conservation sont envisagés au sein de l’Union européenne.

Pour les prestataires hors Union européenne mais qui hébergeraient des données de citoyens européens, leur première obligation consisterait à nommer un représentant légal au sein de l’Union européenne (comme cela est déjà le cas dans le cadre de la directive NIS et du RGPD).

Ainsi, tous les prestataires seraient soumis aux mêmes obligations même si leur siège social est hors de l’Union et que leurs datacenters se trouvent «off-shore». Les décision et injonctions au cœur du projet de cloud act européen leur seraient directement opposables.

En cas de violation de ces injonctions ou non-déclaration d’un représentant, c’est leur activité sur le marché européen qui pourrait se voir compromise. A l’inverse, le prestataire européen avec représentant disposerait de garanties quant à son activité européenne et de voies de recours contre les injonctions.

Ce texte ambitieux ne pourra être utilement discuté qu’après les prochaines échéances électorales européennes de mai 2019.

Cloud act européen et US cloud act : un conflit de loi certain

Il apparaît cependant que le cloud act européen, s’il était adopté, porte intrinsèquement le risque d’un conflit de loi. Si un prestataire se voyait recevoir concomitamment ou successivement des injonctions contraires d’un juge américain et d’un juge d’un Etat européen (l’un demandant la suppression de données, l’autre sa conservation), plus aucun mécanisme de coopération judiciaire ne permettrait de surmonter ce type de difficultés.

Le prestataire concerné serait alors confronté à faire un choix cornélien :

  • user de recours coûteux pour faire valoir sa bonne foi et ne pas compromettre sa position vis-à-vis de chacun des deux juges mais dans la mesure où les prestataires les plus compétitifs sur le cloud sont américains, l’avantage est clairement pour ce juge ;
  • ou tout simplement quitter le marché européen. Suite à l’application du RGPD le 25 mai 2018, certains acteurs américains ont déjà fait ce choix avec leurs clients européens.

Le Cloud act européen fait sens à l’heure où coopération internationale et multilatéralisme font de plus de plus défaut. Il faut souhaiter que la liberté du commerce international ne sera pas mise à mal, alors que les champions du cloud public à bas coût restent américains et que le cloud souverain européen est toujours en construction.

Eric Le Quellenec
Lexing Informatique conseil

(1)  Les dispositions du Cloud Act (modifiant le Stored Communications Act (SCA) de 1986, codifié au chapitre 121, 1e Partie, Titre 18 de l’US Code) ont été adoptées avec le Consolidated Appropriations Act (Division V : Cloud Act), le 23 mars 2018.
(2) Question parlementaire n°9260, JO AN (Q) du 12 juin 2018, p. 4936.
(3) Le Cloud Act, booster du cloud Computing souverain, Post du 21 mai 2018.
(4) Union de la sécurité : la Commission facilite l’accès aux preuves électroniques, communiqué de presse, 17 avril 2018.




Point sur le périmètre autorisé de la biométrie au travail

Point sur le périmètre autorisé de la biométrie au travailLa Cnil a publié plusieurs décisions sur l’usage de la biométrie dans le milieu du travail durant l’année 2015.

C’est l’occasion de revenir sur le périmètre autorisé de cet usage. Parce qu’elle permet l’identification d’une personne par ses caractéristiques physiques, biologiques voire comportementales, la biométrie est considérée comme une technologie particulièrement sensible au regard de la règlementation Informatique et libertés et son usage est soumis à une autorisation préalable de la Cnil.

Finalités autorisées par la Cnil – Concernant l’utilisation de la biométrie sur les lieux de travail, la Cnil a défini dans plusieurs autorisations uniques (1) les finalités pour lesquelles elle autorisait le recours à cette technologie. Il s’agit :

  • des traitements mis en œuvre par des organismes privés ou publics reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail (Autorisation unique n° AU-007) ;
  • des dispositifs biométriques mis en œuvre par des organismes privés ou publics reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (Autorisation unique n° AU-008) ;
  • des traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire, mis en œuvre par des établissements publics locaux d’enseignement du second degré et des établissements privés d’enseignement du second degré (Autorisation unique n° AU-009).

Dans quatre décisions rendues le 15 octobre 2015 (2), la Cnil a autorisé la mise en place de dispositifs biométriques à des fins de contrôle de l’accès aux locaux professionnels identifiés comme sensibles, validant à nouveau le principe du recours à la biométrie pour cette finalité.

Finalités rejetées par la Cnil – En revanche, dans cinq décisions rendues entre mars et juin 2015 (3), la Cnil a refusé d’autoriser la mise en place de dispositifs biométriques à des fins de suivi et de contrôle des horaires des salariés.

Historiquement, le champ d’application de l’autorisation unique n° AU-007 couvrait pourtant la gestion des horaires du personnel. En 2012, cette finalité a toutefois été exclue, la Cnil considérant désormais la biométrie comme un moyen disproportionné d’atteindre une finalité de contrôle des horaires.

Saisie de demandes d’autorisation par des entreprises souhaitant utiliser la biométrie à des fins de suivi et contrôle des horaires, la Cnil a eu l’occasion de réaffirmer sa position à plusieurs reprises en 2013, en 2014 et également en 2015.

Dans les cinq délibérations précitées, la Cnil a indiqué que toute demande d’autorisation pour l’installation d’un dispositif biométrique devait « s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité (…) qui seraient susceptibles de justifier, notamment, la proportionnalité du recours à un dispositif biométrique ».

La simplification de l’identification du collaborateur, la possibilité de palier aux oublis et pertes de badges, la vérification de l’identité du collaborateur ayant pointé ou la possibilité de minimiser les risques d’erreur notamment sont autant de raisons refusées par la Cnil pour justifier le recours à la biométrie sur les lieux de travail.

Techniques biométriques – Dans les décisions de 2015 rendues à propos du suivi et contrôle des horaires des salariés, les dispositifs envisagés étaient basés sur la reconnaissance du contour de la main ou celle des empreintes digitales des salariés.

Dès lors que la finalité revendiquée apparaissait disproportionnée aux yeux de la Cnil, peu importait que le système utilisé soit :

  • un dispositif “à trace” tel que la reconnaissance de l’empreinte digitale ou ;
  • un dispositif sans trace tel que la reconnaissance du contour de la main, ces dispositifs présentant pourtant des risques moindres en termes d’usurpation d’identité, dans la mesure où les caractéristiques biométriques utilisées peuvent plus difficilement être capturées à l’insu d’une personne.

En revanche, dans les quatre décisions rendues le 15 octobre 2015, la Cnil a autorisé la mise en place de dispositifs biométriques multimodaux à des fins de contrôle de l’accès aux locaux professionnels. La particularité des dispositifs présentés résidait dans le recours à des dispositifs biométriques bimodaux, fondés à la fois sur la reconnaissance de l’empreinte digitale et du réseau veineux d’un individu et permettant ainsi d’améliorer les performances du dispositif.

Synthèse – En dehors des finalités de contrôle d’accès aux locaux et à la restauration validés par la Cnil notamment dans le cadre de ses autorisations uniques, l’installation de dispositifs biométriques sur les lieux de travail doit répondre à un impératif spécifique de sécurité.

La démonstration des circonstances exceptionnelles justifiant le recours à la biométrie pourrait alors passer par la réalisation d’une analyse d’impact justifiant le recours à cette technologie en réponse à un risque particulier qui aurait été identifié.

La technique biométrique utilisée et son niveau de performance pourront alors être mis en avant afin de justifier la proportionnalité du recours à cette technologie.

Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Afin de simplifier les formalités préalables pour les responsables de traitement, la Cnil a adopté plusieurs autorisations uniques, décrivant chacune des traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires. Un organisme souhaitant mettre en place un dispositif biométrique qui serait couvert en tous points par l’une des autorisations uniques de la Cnil n’a alors qu’à adresser à la Cnil un engagement de conformité à cette autorisation unique. En revanche, si le dispositif envisagé n’est pas couvert par une autorisation unique, le responsable du traitement doit adresser à la Cnil une demande d’autorisation spécifique décrivant le dispositif en cause.
(2) Délib. 2015-363 du 15-10-2015 ; Délib. 2015-361 du 15-10-2015 ; Délib. 2015-362 du 15-10-2015 ; Délib. 2015-360 du 15-10-2015.
(3) Délib. 2015-176 du 11-6-2015 ; Délib. 2015-141 du 7-5-2015 ; Délib. 2015-140 du 7-5-2015 ; Délib. 2015-087 du 5-3-2015 ; Délib. 2015-088 du 5-3-2015.




Champ d’application de l’hébergement de données de santé

Champ d’application de l’ hébergement de données de santéEn conformité avec la loi de modernisation de notre système de santé, l’ASIP Santé a mis à jour son FAQ sur l’ hébergement de données de santé (1).

Champ d’application élargi par la loi – Dans sa rédaction ancienne, l’article L. 1111-8 al. 1 du Code de la santé publique (CSP) disposait « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet ».

L’article 96-I-5° a) de la loi de santé du 26 janvier 2016 a modifié la rédaction de l’article L. 1111-8 du Code de la santé publique (2). Désormais, « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

Deux extensions ont donc été opérées :

  • Le périmètre des déposants, anciennement « les professionnels de santé ou les établissements de santé ou la personne concernée », s’est élargi aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même ».
  • Les données concernées par l’ hébergement agréé, anciennement les « données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins », ont été étendues aux « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social ».

Précisions sur la notion de déposant par l’ASIP Santé – A l’occasion de cette réforme législative, l’ASIP Santé (3) rappelle l’interprétation extensive de l’article L. 1111-8 du Code de la santé publique qu’en font la Cnil et la Commission d’Agrément des Hébergeurs :

« lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins conserve par ses propres moyens lesdites données, il n’est pas soumis à l’agrément. (…) En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet ».

Ainsi, l’obligation de recourir à un hébergeur agréé ne se limite pas aux « professionnels de santé ou (les) établissements de santé ou (la) personne concernée » ou aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même », mais s’applique bien à tout responsable de traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico social, qui souhaite les externaliser.

Cette qualification de responsable de traitement rejoint la nouvelle rédaction de l’article L. 1111-8 du Code de la santé publique. En effet, une « personne physique ou morale à l’origine de la production ou du recueil desdites données » peut recouvrir les personnes concernées, les professionnels de santé à l’origine de la production des données mais aussi les responsables de traitements collectant lesdites données.

Ainsi les assurances et les mutuelles souhaitant externaliser l’ hébergement agréé de données de santé à caractère personnel doivent les confier à un hébergeur agréé.

Précisions sur les hébergeurs étrangers par l’ASIP Santé – L’ASIP Santé apporte également des précisions sur les hébergeurs étrangers :

« L’agrément peut être octroyé tant à une société française et/ou établie en France qu’à une société étrangère et/ou établie à l’étranger. Les dispositions des articles L.1111-8 et R 1111-9 et suivants du code de la santé publique s’appliquent aux données de santé à caractère personnel produites ou recueillies en France. Aucune disposition du code de la santé publique ne conditionne l’application du régime d’agrément à la situation géographique de l’hébergeur. Toute société étrangère et/ou établie à l’étranger peut donc déposer un dossier de demande d’agrément » (4).

« Si l’ hébergement des données de santé à caractère personnel, recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins, est confié à un prestataire tiers, ce tiers doit être agréé pour l’ hébergement de données de santé à caractère personnel, qu’il soit situé en France ou à l’étranger » (5).

Ainsi l’hébergeur installé en dehors du territoire français proposant ses services à des responsables de traitements de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins situés sur le territoire français doit également obtenir un agrément (5).

L’ASIP Santé étend l’obligation d’agrément à tout prestataire étranger, le critère étant le lieu de production ou de collecte des données (4).

La responsabilité de l’agrément devant peser sur l’hébergeur, selon la nouvelle terminologie de l’article L. 1111-8 du Code de la santé publique, le prestataire étranger devra être particulièrement vigilant sur l’origine des données qu’il héberge et se positionner à cet égard.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(2) Art. 96 loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(3) FAQ ASIP Santé question n°3.
(4) FAQ ASIP Santé question n°13 bis.
(5) FAQ ASIP Santé question n°13 ter.




Projet de règlement européen sur les données personnelles

Projet de règlement européenLe Parlement européen annonce un accord informel sur le projet de règlement européen sur les données personnelles (1).

Les Etats membres de l’Union européenne semblent s’être entendus sur le texte définitif du règlement.

Le 25 janvier 2012, la Commission européenne avait adopté un vaste programme de mesures visant à réformer la législation des Etats membres en matière de données à caractère personnel, avec deux principaux objectifs :

  • uniformiser les règles pour tous les pays européens ;
  • accroitre la protection des données pour renforcer la confiance des utilisateurs dans les services en ligne, essentielle à la croissance économique et à l’innovation.

Le projet de règlement européen, en discussion depuis quatre ans, vise à moderniser les règles prévues par la directive de 1995 sur la protection des données.

Ce texte prévoit un certain nombre de mesures ayant pour objectif le renforcement des droits des citoyens. Le texte se veut dissuasif et renforce considérablement les droits des autorités protectrices en matière de sanction. En cas de d’atteinte aux données personnelles, ces autorités pourront prononcer des amendes allant jusqu’à 4 % du chiffre d’affaires annuel total de l’entreprise.

Le règlement consacre en outre le droit à l’oubli et permet aux citoyens notamment de mieux gérer les risques liés à la protection des données en ligne. Les citoyens pourront ainsi obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.

Par ailleurs, le projet de règlement européen étend l’obligation à tous les responsables de traitement existant déjà à ce jour à l’égard des opérateurs de communication électronique, de notification à l’autorité de contrôle de toute violation de données à caractère personnel.

La création du « guichet unique » devra permettre d’améliorer la gestion des plaintes des victimes. Ce dispositif offrira la possibilité pour les résidents européens d’enregistrer une seule plainte dans leur pays d’origine, uniformisera les procédures entre les pays européens et favorisera leur coopération.

Le texte impose également la désignation d’un délégué à la protection des données pour un certain nombre d’organismes.

Concernant les mineurs, en dessous d’un certain âge, le règlement prévoit plusieurs mesures protectrices. Ils devront notamment obtenir le consentement parental pour ouvrir un compte sur les réseaux sociaux.

A côté de ce projet de règlement européen, on trouve une proposition de directive consacrée au traitement des données à caractère personnel dans le domaine de la coopération policière et judiciaire en matière pénale. On note notamment la création d’une mesure de rétention et d’échange de données entre les autorités répressives des Etats membres.

Il est prévu que le Parlement européen se prononce sur cet accord au printemps 2016. Les responsables de traitement au sein des Etats membres bénéficieront alors d’un délai de 2 ans pour se mettre en conformité avec les nouvelles dispositions en matière de protection des données personnelles.

Virginie Bensoussan-Brulé
Caroline Gilles
Lexing Droit Vie privée et Presse numérique

(1) Communiqué de presse LIBE du 17-12-2015.

 




Collecte déloyale de données : condamnation d’annuaires en ligne

Collecte déloyale de données : condamnation d’annuaires en ligneCollecte déloyale de données – La Cour d’appel de Bordeaux vient de rappeler que la collecte déloyale de données peut donner lieu à des sanctions pénales. La Cnil est venu préciser le contexte et les détails de cette affaire dans plusieurs communiqués publiés sur son site internet (1).

Elle rappelle dans ces communiqués que ce dossier avait été initié par des plaintes et des témoignages de nombreuses personnes (parmi lesquelles des personnes dont les coordonnées étaient sur « liste rouge ») qui avaient vu leurs noms, prénoms et coordonnées publiés dans des annuaires en ligne, et qui considéraient que cette pratique constituait une collecte déloyale de données.

La Cnil précise d’ailleurs à cet égard que ces plaintes et témoignages avaient permis de mettre en lumière une collecte déloyale de données, les personnes concernées n’ayant jamais communiqué leurs coordonnées postales ou téléphoniques aux responsables de ces sites et n’ayant donc a fortiori pas autorisé leur mise en ligne.

Après avoir effectué de nombreuses démarches auprès des sites pour obtenir des précisions sur l’origine des coordonnées diffusées mais également en vue de faire cesser cette collecte déloyale de données et cette diffusion, en vain, la Cnil a saisi, comme l’y autorise l’article 11 2 e) de la loi Informatique et libertés (loi 78-17 du 6-1-1978), le procureur de la république de ces faits dont elle rappelle qu’ils peuvent avoir de graves conséquences (par exemple, diffusion publique de coordonnées d’une victime de violences conjugales inscrite en « liste rouge »).

Suite à cette saisine du Ministère public, l’OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) avait été chargé d’effectuer les vérifications nécessaires à l’enquête, ce qui a permis d’identifier et de localiser le responsable des sites internet en cause ayant procédé à cette collecte déloyale de données.

En pratique, il est en effet apparu dans le cadre de l’enquête que les différents annuaires étaient édités par un même responsable qui avait développé un logiciel lui permettant de collecter les données à partir de diverses sources (le journal des associations, Google, l’annuaire universel, l’INSEE), de les mettre en forme et de les diffuser dans ses annuaires en ligne.

Le Tribunal correctionnel de Bordeaux avait considéré que cette pratique, consistant à recueillir les coordonnées des personnes sur les espaces publics d’internet à leur insu, constituait une collecte déloyale de données dans la mesure où ce procédé faisait obstacle au droit d’opposition de ces personnes. Le défendeur avait alors interjeté appel de cette décision.

La Cour d’appel de Bordeaux a toutefois confirmé le jugement de 1ère instance en condamnant le responsable des sites en cause à une peine d’amende délictuelle de 10.000 euros avec sursis aux motifs suivants :

– collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
– traitement de données à caractère personnel malgré l’opposition légitime de la personne concernée ;
– abus de confiance ;
– traitement automatisé de données à caractère personnel dans déclaration préalable auprès de la Cnil ;
– divulgation illégale volontaire de données à caractère personnel nuisibles (vie privée, considération).

La Cour ordonne en outre la suppression de toutes les données personnelles des victimes déloyalement collectées et la publication de son arrêt, par extraits, par voie de diffusion internet sur le site de la Cnil, publication réalisée par la Cnil via un communiqué en date du 7 avril dernier.

Pour la Cnil, cette décision, qui met en lumière l’interdiction des pratiques de collecte déloyale de données, « traduit la nécessaire prise en compte des droits reconnus aux personnes concernées par la loi « Informatique et libertés » ».

En tout état de cause, cette décision doit être l’occasion pour les responsables de traitement d’effectuer un audit de leurs pratiques en la matière afin de s’assurer de la conformité de leurs procédés de collecte de données aux dispositions applicables en matière de protection des données à caractère personnel.

Alain Bensoussan
Lexing Droit Informatique et libertés

(1) Actualité Cnil, « Condamnation pour des annuaires en ligne illégaux » (article du 7-4-2014) et « Webinbox.info, frenchcity.info, eopin.info, habitant-ville.info : enquête pénale en cours » (article du 20-4-2012).




Open data, un droit en devenir mais des actions à prévoir

Open data, un droit en devenir mais des actions à prévoirL’open data est un gisement informationnel encore inexploité, estime Alain Bensoussan et sans droits spécifiquement définis.

Me Bensoussan présente son analyse juridique de l’open data pour MyDSI-TV d’Accenture.

L’ « Open Data » est un concept en devenir, un concept d’origine anglo-saxonne né avec l’avènement du web 2.0.

Open data pourrait se traduire par « donnée ouverte » mais cela ne reflète pas la complexité technique du concept. En informatique, une donnée ouverte est une information structurée (publique ou privée) et généralement non utilisable par un humain mais interprétable par une machine. Elle fait appel à de nombreuses composantes techniques liées au partage d’information en mode collaboratif (interfaces de programmation – API, crowdsourcing, linked Data, interopérabilité, métadonnée, etc.).

Il faut ensuite tenir compte de la fonction. L’open data du secteur privé ou l’open data du secteur public sont des gisements informationnels qui ne sont pas exploités, ce sont des données qui ont été recueillies pour une certaine finalité et aujourd’hui le marché est prêt à les utiliser pour d’autres finalités.

Les « Big data » sont des systèmes où l’on va gérer un ensemble très large de données qui viennent de l’administration ou du privé.

Quel est le régime juridique de l’open data ?
Il n’y a pas de droit spécifique puisque l’on est en présence d’un concept nouveau qu’il faut introduire dans notre cadre juridique. Dans l’open data il faut distinguer les données du secteur public et les données du secteur privé et, à l’intérieur de ces deux groupes, les données à caractère personnel permettant l’identification et les données non nominatives…

Derrière open data, on sous-entend souvent à tort « gratuité ».
L’open data peut très bien faire l’objet d’une monétarisation par notamment les ministères. Très souvent dans l’open data rien n’est « open ». Il y a des conditions juridiques d’exploitation, des licences. Cela peut être des licences libres autorisant un usage à titre personnel ou des licences à vocation commerciale qui précisent que les données peuvent être utilisées sous référence de la source mais parfois aussi, pour certaines administration, ce sont des licences où il faut non seulement indiquer la source mais pour lesquelles il y a une réserve de propriété et un prix pour une utilisation limitée dans le temps et dans l’espace…

Dans le secteur privé, la question est beaucoup plus complexe puisqu’on peu supposer que l’entreprise qui dispose de ces données, et certes ne les exploitent pas, est propriétaire de ses données. Mais non, il n’y a pas de réelle propriété des données et elles restent protégées par divers droits comme le droit d’auteur, le droit de la concurrence ou la loi informatique et libertés…

Alain Bensoussan, « L’open data, un droit en devenir, mais une action économique à réaliser immédiatement »,  vidéo MyDSI-Tv, mai 2013.




Cloud computing : la responsabilité conjointe consacrée par la Cnil ?

Cloud ComputingSi la Cnil semblait jusqu’alors admettre implicitement la possibilité d’une responsabilité conjointe de traitement, les services de Cloud computing sont l’occasion pour elle de formuler des recommandations allant en ce sens de manière plus explicite. En effet, le 1er juillet 2013, la Cnil a publié une fiche pratique comprenant les 7 étapes clés à respecter afin de garantir la confidentialité des données dans le cadre de la souscription à des services de Cloud computing (1).

Les recommandations relatives au Cloud computing formulées par la Cnil au sein de cette fiche pratique reprennent de manière plus concise ses précédentes recommandations à l’attention des entreprises (2) mais cette fiche pratique est aussi l’occasion d’asseoir un peu plus sa position sur la responsabilité conjointe de traitement de données à caractère personnel.

Dans ses recommandations de juin 2012, la Cnil indiquait que le client du service de Cloud computing avait la qualité de responsable de traitement et le prestataire celle de sous-traitant. Néanmoins, elle avait reconnu que, notamment dans le cadre d’offres standardisées non négociables, le prestataire de service de Cloud computing pourrait « a priori » être considéré comme conjointement responsable en vertu de la définition de « responsable de traitement » figurant à l’article 2 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Au sein de sa fiche pratique, la Cnil semble admettre de manière plus tranchée la possibilité d’une responsabilité conjointe. Elle recommande que dans un tel cas, les obligations et le périmètre des responsabilités de chacun soient clairement établis et qu’une telle distribution de responsabilités soit actée en amont de la mise en œuvre du traitement concerné.

Enfin, elle précise le cas dans lequel une responsabilité conjointe pourra être admise à savoir lorsque le client ne peut pas réellement donner d’instruction à son prestataire et ne peut pas non plus contrôler l’effectivité des garanties de sécurité apportées par ce dernier.

Bien que la Cnil conclut, ici encore, que le prestataire de Cloud computing pourrait, dans un tel cas, « a priori » être considéré comme responsable conjoint de traitement, elle semble s’aligner sur la proposition de règlement européen sur ce point qui vient surtout préciser le régime de cette responsabilité conjointe et notamment la nécessité de définir, par voie d’accord, les obligations respectives de chacun des responsables (3).

Céline Avignon
Anne Renard
Lexing Droit Marketing électronique

(1) Cnil, Fiche pratique du 1-7-2013.
(2) Cnil, Recommandations du 6-2012.
(3) Proposition de règlement 2012/0011 du 25-1-2012, art. 24.




Union européenne : les enjeux de la révolution numérique

révolution numériqueRévolution numérique – Alain Bensoussan a été auditionné par la Commission des affaires européennes en vue de la réalisation d’un rapport d’information intitulé « L’Union européenne, colonie du monde numérique ? ». Ce rapport comporte trente propositions destinées à permettre à l’Union européenne d’appréhender les mutations et les enjeux induits par la révolution numérique.

La question de la protection des données personnelles va encore gagner en acuité avec le développement de l’internet des objets et la multiplication des données qui en résultera. Le nombre de dispositifs connectés s’accroît déjà alors que leur taille les rend invisibles pour l’œil humain. La mobilité est une autre dimension de ce nouvel univers, que Me Alain Bensoussan a qualifié de web 3.0 lors de son audition : de plus en plus de connexions se feront sans fil, les objets étant transportés en permanence par les personnes.

Concernant la participation active de l’Union européenne à la gouvernance mondiale multiacteurs de l’internet, il a fait observer que les sites révisionnistes ou racistes que l’Union européenne ne tolère pas sont crées aux États-Unis, dont la Cour suprême protège la liberté d’expression sur Internet au titre du premier amendement à la Constitution.

Il s’est notamment prononcé en faveur de l’adoption d’un texte européen formalisant les droits et obligations des internautes, dans la lignée de l’Habeas Corpus (proposition n° 17), alors qu’a été annoncée par le président des Etats-Unis début 2012 la rédaction d’un Digital Bill of rights. Ce texte viendrait compléter le futur règlement européen sur la protection des données.

Sénat, Rapport d’information n° 443 du 20-3-2013




Le délégué à la protection des données « CIL » version 2

Le délégué à la protection des données "CIL" version 2La proposition de règlement général sur la protection des données instaure le délégué à la protection des données qui

remplace le correspondant Informatique et libertés. Le délégué à la protection des données est une personne désignée par une entité ou un groupe d’entreprise pour une durée minimale de deux ans et qui doit avoir des connaissances spécialisées de la législation et de la pratique en matière de protection des données.

Le délégué à la protection des données peut être un salarié de l’entité concernée ou peut accomplir ses tâches sur la base d’un contrat de services.

Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données dès lors que l’une de ces conditions est remplie :

  • le traitement est effectué par une autorité ou un organisme public ;
  • le traitement est effectué par une entreprise employant plus de 250 personnes ;
  • les activités de base du responsable du traitement ou du sous-traitant en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Lorsque le responsable du traitement ou le sous-traitant ne remplit pas les conditions détaillées ci-dessus, la désignation du délégué à la protection des données est facultative. Le responsable du traitement et le sous-traitant doivent (1) :

  • communiquer le nom du délégué à la protection des données à l’autorité de contrôle ainsi qu’au public ;
  • veiller à ce que le délégué à la protection des données soit associé à toute question relative à la protection des données ;
  • veiller à ce que le délégué puisse exercer ses fonctions en toute indépendance ;
  • aider le délégué à exercer ses fonctions et à lui fournir toutes les ressources nécessaires à sa mission.

Le règlement définit les missions du délégué à la protection des données qui a un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Le délégué à la protection des données doit se voir confier par le responsable du traitement et le sous-traitant au minimum les missions suivantes :

  • informer et conseiller sur les obligations du responsable du traitement et du sous-traitant découlant du règlement et conserve une trace documentaire de cette activité et des réponses reçues ;
  • contrôler la mise en œuvre et l’application des règles internes en matière de protection des données ;
  • contrôler la mise en œuvre de la bonne application du règlement tels que les principes de protection des données dès la conception ;
  • veiller à ce que la documentation du responsable du traitement ou du sous-traitant soit tenue à jour ;
  • contrôler la documentation, la notification et la communication en cas de violation de données à caractère personnel ;
  • vérifier que l’analyse d’impact a été réalisée ;
  • vérifier qu’il a été répondu aux demandes de l’autorité de contrôle ;
  • exercer la fonction de point de contact pour l’autorité de contrôle.

Afin d’anticiper cette réforme, les entreprises pourraient d’ores et déjà désigner un correspondant Informatique et libertés.

Chloé Torres
Lexing Droit Informatique et libertés

(1) Proposition de règlement 2012-0011 (COD) 25-1-2012, art.36, art.37.




La Cnil et cinq autres autorités européennes lancentuneactioncontre Google

Flag of European UnionLe groupe de l’article 29, qui regroupe les autorités de protection des données européenne dont la Cnil, a mené pendant plusieurs mois une étude de la conformité des règles de confidentialité publiées par Google avec les exigences découlant des réglementations européennes en matière de protection des données à caractère personnel. Les conclusions de cette étude ont été rendues publiques le 26 octobre 2012.

Le groupe de l’article 29 a, sur cette base, demandé à Google de se mettre en conformité dans un délai de 4 mois. Or, à l’issue de ce délai Google n’a adopté aucune mesure concrète de mise en conformité de ses règles de confidentialité avec la réglementation applicable. En conséquence, six autorités européennes de protection des données ont chacune lancé des actions contre Google.

La Cnil a, pour sa part, notifié à Google sa décision d’ouvrir une procédure de contrôle ainsi qu’une procédure de coopération internationale avec ses homologues européens. Google va se faire assisté, dans ce cadre, de spécialistes du domaine Informatique et libertés.

La Cnil avait d’ailleurs annoncée, le 19 mars dernier, lors de la publication de son plan de contrôle 2013, qu’elle mettrait l’accent sur la coopération internationale, en termes de contrôle, entre autorités de protection des données.

Chloé Torres
Lexing Droit Informatique et libertés

Actualité Cnil du 2-4-2013.