Formation sur le contentieux informatique et libertés

contentieux informatique et libertésVirginie Bensoussan-Brulé anime une formation sur le contentieux informatique et libertés pour Lamy Formation (Wolters Kluwer).

L’ensemble des organismes qui traite des données à caractère personnel peut être soumis à un contrôle : entreprises privées, associations ou organismes publics, prestataires sous-traitants, en charge de la mise en œuvre d’un traitement, pour le compte d’un responsable du traitement.

Le contentieux informatique et libertés

Cette formation qui a lieu le vendredi 29 novembre 2019 et abordera notamment :

  • Les infractions à la loi Informatiques et libertés (Panorama des infractions à la loi Informatique et libertés, peines principales et peines complémentaires) ;
  • Pouvoir de sanction de la Cnil (sanctions administratives correctrices et financières) ;
  • La procédure devant la formation restreinte de la Cnil (Aspects procéduraux et mise en situation) ;
  • Les nouvelles règles de responsabilité issues du RGPD (régime de responsabilité et de réparation).

En 2018, la Cnil a utilisé ses nouvelles prérogatives en adoptant les premières sanctions dans le nouveau cadre répressif. Elle a ainsi procédé à 49 mises en demeure, dont cinq concernent le secteur de l’assurance. Au total, l’autorité a prononcé dix sanctions pécuniaires (dont 9 publiques) à l’encontre d’entreprises (1).

Dans cette formation au contentieux relatif à la loi informatique et libertés, les objectifs sont triples :

  • premièrement : identifier les différentes infractions à la réglementation sur les données personnelles ;
  • deuxièmement : savoir se défendre devant la formation restreinte de la Cnil ;
  • troisièmement : appréhender le nouveau régime de responsabilité mis en place par le RGPD.

Programme détaillé.

(1)  Cnil, Rapport d’activité 2018




Obligations en matière d’analyse d’impact pour les mairies

analyse d’impact pour les mairiesLe RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • l’instruction des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

  • les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

  • la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
  • le recensement des enfants soumis à l’obligation scolaire ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires ;
  • les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.




Juristendance Informatique et libertés 87 – 2019

Juristendance Informatique et Libertés 87Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés 87(bimestrielle) :

  • Tendance ADPO 2019 : le RGPD, un an et 50 millions € après
  • Point d’actualité sur la certification hébergeur de données de santé
  • Projet de loi des mobilités et accès aux données des véhicules connectés
  • RGPD un an après : quel bilan depuis son entrée en application effective ?
  • Le Conseil d’État valide la proportionnalité d’une sanction de la Cnil
  • Le réseau Lexing® vous informe sur l’application du RGPD
  • Obligation de sécurité : une sanction Cnil disproportionnée
  • Le droit d’opposition nécessite une situation particulière
  • L’application du RGPD en Nouvelle Calédonie
  • Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?
  • Successions : les héritiers face au compte Facebook du défunt
  • Data Protection Days : RGPD, responsable de traitement versus sous-traitant
  • Présentation du bilan d’activité 2018 et des enjeux 2019 de la Cnil

Restez également au cœur de l’actualité législative et jurisprudentielle avec nos programmes 2019 :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Juristendance Informatique et libertés 87, Mai-juin 2019.

De même, n’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Petit-déjeuner Informatique et libertés : bilan et perspectives

activité 2018 de la CnilAlain Bensoussan animera le 11 septembre 2019 un petit-déjeuner débat sur le thème « Informatique et libertés : Bilan et perspectives ».

Informatique et libertés : bilan d’activité de la Cnil

2018 restera comme l’année de l’entrée en application effective du RGPD et celle d’une phase de transition entre l’ancienne législation et la nouvelle.

La Cnil a rendu public en avril son dernier bilan d’activité. En 2018, la Cnil a utilisé ses nouvelles prérogatives en adoptant les premières sanctions dans le nouveau cadre répressif. Elle a ainsi procédé à 49 mises en demeure, dont cinq concernent le secteur de l’assurance. Au total, l’autorité a prononcé dix sanctions pécuniaires (dont 9 publiques) à l’encontre d’entreprises.

Le dernier rapport d’activité de la Cnil montre une hausse considérable des plaintes (+32,5 %) dont un tiers concerne la diffusion de données sur internet, 21 % concerne la prospection (notamment pas SMS), 16,5 % le secteur du travail (vidéosurveillance, géolocalisation, cybersurveillance) et 8,9 % le secteur des banques et du crédit (fichiers d’incidents de la Banque de France).

Par ailleurs, au cours du dernier trimestre 2018, la Cnil signale avoir reçu de nombreuses demandes de particuliers ; ces dernier désireux d’exercer leurs droits (accès, opposition, portabilité) et d’obtenir des conseils pour faire aboutir leur demande.

Informatique et libertés perspectives : stratégie de contrôle de la Cnil pour 2019

La Cnil vient de mettre en ligne son sa stratégie de contrôle pour 2019.

Cette année, la Commission a annoncé concentrer son action sur trois grandes thématiques, directement issues de l’entrée en application du RGPD :

  • le respect des droits des personnes (droit d’accès, à l’oubli, à la portabilité des données, etc.) ;
  • le traitement des données des mineurs (réseaux sociaux, biométrie dans les écoles, etc.) ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants (contrats de sous-traitance).

Dans le cadre de ce petit-déjeuner débat, nous vous proposons de préciser les actions à mettre en œuvre pour assurer la conformité de vos activités à la nouvelle réglementation Informatique et libertés.

Le petit-déjeuner débat aura lieu le 11 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 

 




Classement Legal 500 2019 : Alain Bensoussan à l’honneur

Classement Legal 500 Alain Bensoussan à l’honneur

Alain Bensoussan est classé « Leading individual » dans la catégorie IT, télécoms & internet du classement Legal 500 2019

Legal 500 Paris vient de rendre public son classement EMEA 2019.

Alain Bensoussan y est classé « Leading individual » dans la catégorie IT, télécoms & internet.

C’est un honneur et une fierté pour le cabinet Lexing Alain Bensoussan Avocats, qualifié par Legal 500  » d’une des premières boutiques du marché à s’être historiquement spécialisée dans le secteur des nouvelles technologies  » et réputée pour  » son expertise s’agissant de la conduite de projets de transition numérique, du traitement de dossiers en matière de données personnelles, ainsi que pour ses compétences avancées sur les questions du droit des robots et de l’intelligence artificielle « .

The Legal 500 Paris est un ouvrage de référence pour des milliers de professionnels du droit des affaires, y compris de très nombreux juristes d’entreprises. Y sont classées près de 300 cabinets d’avocats opérant en France. The Legal 500 Paris offre une analyse détaillée de 45 domaines d’expertise juridique différents.

Le travail de recherche est effectué par une équipe de rédacteurs expérimentés qui s’entretiennent chaque année avec des centaines d’avocats et interrogent des milliers de clients. Ce sont sur ces bases que sont établis les classements.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Juristendance Informatique et libertés 86 – 2019

Juristendance Informatique et Libertés 86Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés 86 (bimestrielle) :

  • Nouveau protocole de coopération entre la Cnil et la DGCCRF
  • Brexit et transferts de données dans le cadre du RGPD
  • GRC et données personnelles : peut-on tout savoir sur ses clients ?
  • Documation 2019 : RGPD, êtes-vous sûr d’être en conformité ?
  • Cloud : quelles nouvelles contraintes réglementaires ?
  • Panorama du droit de la donnée en 2019, secteur social et médico-social
  • Recommandations de l’Autorité bancaire européenne sur l’externalisation et RGPD
  • Tourisme d’affaires : quelles obligations dans la gestion des données
  • IP/IT : le cabinet à l’honneur du Guide Décideurs Innovation 2019
  • Les enjeux du RGPD : retour sur l’IT Tour 2018
  • (…)

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et libertés n°86 Mars-Avril 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Cloud : quelles nouvelles contraintes réglementaires ?

contraintes réglementaires pour le cloudEric Le Quellenec évoquera lors du salon Cloud Computing World Expo le nouveau cadre réglementaire du cloud à l’heure du RGPD et du Cloud Act.

Rencontre d’experts, conférences, keynotes, rendez-vous business… les 20 & 21 mars 2019 se tiendra à la Porte de Versailles la 10ème édition du salon Cloud Computing World Expo. L’objectif : cerner en deux jours tous les enjeux autour du cloud computing.

Grâce aux RdV Business, aux conférences, à l’espace démonstration de logiciels et au vaste hall d’exposition, Cloud Computing World Expo procure aux visiteurs un événement incontournable pour mieux cerner les enjeux, les offres de services et les logiciels cloud. Une occasion unique de comprendre plus facilement les enjeux de demain…

Cloud Computing World Expo : 10 ans

10 ans, 10 milliards d’euros : c’est le poids actuel du marché Français du cloud computing, au moment où le salon Cloud Computing World Expo fête sa première décennie.

Mieux, les services cloud connaissent une croissance annuelle de l’ordre de 23%. Ils sont tirés par les logiciels délivrés à la demande, les plateformes PaaS, les prestations d’infrastructures, mais aussi la mobilité, l’IoT, l’intelligence artificielle…

Cloud Computing : comment progressent les usages ?

Selon Denis Rémy, directeur du salon, près de 64% des organisations européennes utiliseraient déjà des services et technologies cloud, et elles seront plus de 90% à exploiter plusieurs clouds d’ici à la fin 2020. Les recettes des services cloud public et privé dépasseraient alors les 64 milliards de dollars en Europe en 2020 (source IDC, citée par Denis Rémy) : « Le multicloud, les technologies de conteneurs, les micro-services applicatifs et le chiffrement des données apparaissent parmi les tendances principales pour les mois à venir. En quête d’agilité, de performances et de résilience, l’entreprise est maintenant confrontée à la gouvernance des actifs IT, à la conformité réglementaire des données numériques, à la portabilité des charges applicatives ».

RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ?

© David Autin

Le mercredi 20 mars 2019, à 14h30, se déroulera une conférence sur le thème : « RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ? »

L’occasion d’évoquer le Cloud computing et la mise en conformité au RGPD ainsi que les incidences possibles du Cloud Act américain.

Avec la participation de :

A notre par ailleur que le jeudi 21 mars, Eric Le Quellenec particpera à une table ronde sur le thème : « Le ‘Cloud brokering’ en pratique : les avantages et les limites du modèle » Quelle réversibilité ? Faut-il prévoir un accompagnement ?

Participeront également à cette table ronde :

  • Gael Acke, DSI, Cerfrance Alliance
  • Stéphane Caron, manager Infrastructures, EDF
  • Jean-François Stricher, Chef de département Architecture et Solutions, Enedis

Table ronde animée par Philippe Roux, Animateur, Twin Sharks.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Petit-déjeuner débat : la jurisprudence de la Cnil depuis le RGPD

jurisprudence de la CnilLe cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.

Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, elle intervient en conseil et contentieux dans les domaines du droit de la presse, droit pénal, ainsi qu’en contentieux en droit de l’internet et droit de la protection des données personnelles.

Le contentieux Cnil post RGPD

Depuis l’entrée en vigueur du RGPD le 15 mai 218, les pouvoirs de la Cnil se sont élargis. En effet, la Cnil peut effectuer des contrôles plus étendus et prononcer des sanctions plus sévères.

La Cnil a désormais le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitement (entreprises, associations, collectivités territoriales, administrations) pour vérifier l’application de la réglementation sur les données personnelles.

A l’issue de missions de contrôles ou sur plaintes, la Cnil peut prononcer diverses sanctions à l’égard des responsables de traitements ou des sous-traitants qui auraient commis un manquement à l’application de la réglementation sur les données personnelles.

Notamment, la Cnil peut prononcer une sanction pécuniaire d’un montant pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

Le 21 janvier 2019, la Cnil a prononcé une amende à l’encontre de la société Google LLC d’un montant de 50 millions d’euros.

Les objectifs du petit-déjeuner débat

Les objectifs du petit-déjeuner débat sont, par l’analyse de la jurisprudence de la Cnil, de :

  • connaître le pouvoir de contrôle et de sanction de la Cnil ;
  • savoir se défendre devant la formation restreinte de la Cnil ;
  • connaître l’actualité des décisions des autorités de contrôle européennes.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Juristendance Informatique et libertés n° 85 – 2019

Juristendance Informatique et Libertés 85Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés bimestrielle) :

  • Vidéoprotection et vidéosurveillance : quelle distinction pour quels régimes ?
  • Blockchain et RGPD : les premiers éléments d’analyse de la Cnil
  • Réseaux sociaux : qui est propriétaire des données collectées ?
  • Données de géolocalisation: mises en demeure FIDZUP et SINGLESPOT
  • Système de géolocalisation de salariés : conditions de mise en place
  • RGPD : les labels Cnil attribués au cabinet Lexing en 2018
  • Algorithmes autoapprenants interdits de prise de décision
  • La sécurité européenne n’est pas négociable
  • Le statut de lanceur d’alerte reconnu aux inspecteurs du travail
  • La réécriture de la loi Informatique et libertés par ordonnance

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et libertés n°85 Janvier-Février 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Mise en demeure de la Cnil à l’encontre de la société Auxia

AuxiaLa société Auxia a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Auxia avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Auxia a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Auxia a utilisé ces données à des fins commerciales, et plus précisément pour proposer des produits d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

La Cnil a également constaté, que lors d’une campagne de prospection téléphonique, certaines conversations avaient été enregistrées sans que les personnes contactées ne soient systématiquement informées de cet enregistrement.

Il s’agit là d’un manquement au I de l’article 32 de la loi Informatique et Libertés, dans sa version applicable aux faits de l’espèce, qui impose de fournir à la personne concernée une information en cas d’enregistrement d’une conversation téléphonique.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Auxia en demeure de cesser le détournement de finalité précité et de procéder à l’information des personnes dont les données avaient été traitées, notamment en ce qui concerne les enregistrements téléphoniques, sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Auxia est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Auxia se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-036 du 25-9-2018
(2) Délibération n°2018-332 du 11-10-2018




Mise en demeure de la Cnil à la société Grand Est Mutuelle

Grand Est MutuelleLa société Grand Est Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

Au terme de ce contrôle, la Cnil a constaté que la société Grand Est Mutuelle avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Grand Est Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Grand Est Mutuelle a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Grand Est Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le Bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Grand Est Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Grand Est Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-035 du 25-9-2018
(2) Délibération n°2018-329 du 11-10-2018




Mise en demeure Cnil à la société Mutuelle Humanis Nationale

Mutuelle Humanis NationaleLa société Mutuelle Humanis Nationale a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle la Cnil a constaté que la société Mutuelle Humanis Nationale avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Mutuelle Humanis Nationale a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Mutuelle Humanis Nationale a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Mutuelle Humanis Nationale en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Mutuelle Humanis Nationale est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Mutuelle Humanis Nationale se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-038 du 25-9-2018
(2) Délibération n°2018-331 du 11-10-2018