Mise en demeure Cnil à la société Mutuelle Humanis Nationale

Mutuelle Humanis NationaleLa société Mutuelle Humanis Nationale a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle la Cnil a constaté que la société Mutuelle Humanis Nationale avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Mutuelle Humanis Nationale a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Mutuelle Humanis Nationale a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Mutuelle Humanis Nationale en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Mutuelle Humanis Nationale est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Mutuelle Humanis Nationale se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-038 du 25-9-2018
(2) Délibération n°2018-331 du 11-10-2018




Mise en demeure de la Cnil à la société Humanis Assurances

Humanis AssurancesLa société Humanis Assurances a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Humanis Assurances avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Humanis Assurances a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Humanis Assurances a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Humanis Assurances en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2) le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Humanis Assurances est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Humanis Assurances se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-037 du 25-9-2018
(2) Délibération n°2018-330 du 11-10-2018




Mise en demeure de la Cnil à la société Malakoff Médéric Mutuelle

Malakoff Médéric MutuelleLa société Malakoff Médéric Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société mutualiste du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Malakoff Médéric Mutuelle avait utilisé, à des fins de prospection commerciale, des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Malakoff Médéric Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Malakoff Médéric Mutuelle a utilisé ces données à des fins commerciales, et plus précisément pour proposer des contrats d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Malakoff Médéric Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Malakoff Médéric Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Malakoff Médéric Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Cnil, Décis. n°MED-2018-034 du 25-9-2018
(2) Cnil, Délib. n°2018-333 du 11-10-2018




Juristendances Informatique et libertés n° 84 – 2018

Informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés n°84, la 3ème édition de Technolex qui se tiendra à Paris, le 28 novembre 2018, en partenariat par le Groupe Serda Archimag (Bande-annonce).

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°84, Novembre-Décembre 2018.




Juristendances Informatique et libertés n° 82 – 2018

informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés du mois de juillet-août, notre classement parmi les Best Lawyers édition 2019

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Interviews et vie du cabinet

Outils et nouveautés

Formations Informatique et libertés

Enfin, à signaler, dans la Lettre Juristendance Informatique et libertés, nos petits-déjeuners à venir (Programme).

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°82, Juillet-août 2018.




Petit-déjeuner Informatique et libertés Bilan et perspectives

Informatique et libertés bilanPetit-déjeuner du 12 septembre 2018 « Informatique et libertés Bilan et perspectives » – Alain Bensoussan.

Informatique et libertés Bilan

Le dernier rapport d’activité de la Cnil montre que l’an dernier, le régulateur a reçu un nombre record de plaintes (8360) et de demandes de droit d’accès (4039) et son site Web n’a jamais été autant consulté (4,4 millions de visites).

En 2017, la Cnil a :

  • effectué 341 contrôles dont 47 concernant la vidéoprotection ;
  • réalisé 79 mises en demeure dont 6 publiques ;
  • prononcé 14 sanctions dont une amende de 150 000 € à l’encontre de Facebook, 100 000 € à l’encontre de la société Google Inc., 40 000 € à l’encontre d’une société de location de véhicule,  25 000 € à l’encontre de l’éditeur de 4 sites, 15 000 € à l’encontre d’une société de transport de particuliers.

73 % des contrôles réalisés ont concerné les entreprises du secteur privé, contre 27 % celles du secteur public.

Informatique et libertés perspectives : le programme des contrôles Cnil

A l’heure où la Cnil vient de mettre en ligne son programme des contrôles pour 2018, l’année s’annonce riche en actions.

En 2018, la Cnil contrôlera le respect du RGPD entré en application depuis le 25 mai 2018 et portera particulièrement son attention sur les secteurs :

  • RH (traitements liés au recrutement)
  • immobilier (pièces justificatives demandées par les agences immobilières) et
  • prestataires liés au contrôle du stationnement (gestion du stationnement payant au moyen d’équipements connectés).

300 contrôles sur place, sur audition, sur pièces et en ligne sont planifiés. La Cnil a toutefois annoncé que les contrôles sur les nouvelles exigences du règlement ne commenceront pas avant la fin de l’année, ce qui laisse encore quelques mois pour se mettre en conformité…

Dans le cadre de ce petit-déjeuner débat, nous vous avons proposé de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés.

Le petit-déjeuner débat a eut lieu dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes




Juristendances Informatique et libertés n° 81 – 2018

Informatique et libertésA retenir dans la Lettre Juristendances Informatique et libertés bimestrielle, la 2ème édition du Minilex Data Protection Officer aux éditions Larcier.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

Articles Juristendances Informatique et libertés

Interviews et vie du cabinet

Outils et nouveautés

Formations

Enfin, à retenir dans la Lettre Juristendance Informatique et libertés nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°81, Mai-Juin 2018




Faire face à un contentieux Informatique et libertés devant la Cnil

contentieux Informatique et libertés« Faire face à un contentieux Informatique et libertés devant la Cnil » est le thème du petit-déjeuner débat animé par Virginie Bensoussan-Brulé le 20 juin 2018.

La Commission nationale de l’informatique et des libertés a le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitements (entreprises privées, associations, collectivités territoriales, administrations) et de leurs sous-traitants pour vérifier l’application de la réglementation sur la protection des données personnelles.

A l’issue de missions de contrôle ou sur plaintes, la Commission peut prononcer diverses sanctions à l’égard des responsables de traitements et de leurs sous-traitants qui auraient commis un manquement à la réglementation sur la protection des données personnelles.

Elle peut notamment prononcer une sanction pécuniaire pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

La Commission peut également dénoncer au procureur de la République les infractions à la loi Informatique et libertés prévues aux articles 226-16 et 226-24 du Code pénal. Virginie Bensoussan-Brulé le 20 juin 2018

Un contentieux devant la Cnil représente un enjeu majeur pour les responsables de traitement concernés, compte tenu des risques financiers et en termes d’image.

Afin de faire face à un contentieux Informatique et libertés devant la Cnil, Virginie Bensoussan-Brulé vous aide à  :

  • Identifier les différentes infractions à la loi Informatique et libertés ;
  • Se préparer aux contrôles de la Cnil ;
  • Élaborer un plan d’action pour répondre aux mises en demeure et rapports en cas de procédure contentieuse Cnil ;
  • Savoir se défendre devant la formation restreinte de la Cnil ;
  • Comprendre le nouveau régime de responsabilité mis en place par le RGPD.

Ce petit-déjeuner débat s’est déroulé le 20 juin 2018 dans nos locaux situés immeuble Cap Etoile 58, boulevard Gouvion-Saint-Cyr 75017 Paris.

Inscription close




La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.




Juristendances Informatique et libertés n° 80 – 2018

A retenir dans la Lettre JuristendancesA retenir dans la Lettre Juristendances Informatique et libertés bimestrielle, la parution du Guide pratique RGPD-GDPR Compliant d’Umanis élaboré par Lexing Alain Bensoussan Avocats.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

OUTILS ET NOUVEAUTÉS

Enfin, à retenir dans la Lettre Juristendance Informatique nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°80, Mars-avril 2018




Juristendances « Informatique et libertés » n° 79 – 2018

Juristendances « Informatique et libertés » n° 79 – 2018A retenir dans la Lettre Juristendances Informatique et libertés de ce début d’année, la recommandation par le Conseil national des barreaux de notre offre de DPO externalisé parmi les offres du marché ainsi que la publication par la Ficime et Lexing Alain Bensoussan Avocats d’un Guide pratique RGPD pour tout comprendre du règlement européen.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés de ce début d’année figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne

Lettre Juristendance Informatique et libertés n°79, Janvier-Février 2018.




Juristendances « Informatique et libertés » n° 78 – 2017

Juristendances « Informatique et libertés » n° 77 – 2017A retenir dans la Lettre Juristendances Informatique et libertés des mois de Novembre-Décembre, le lancement à  partir de janvier des « Afterworks Lexing » ainsi que la parution de l’édition 2018 de notre ouvrage « Règlement européen sur la protection des données : Textes, commentaires et orientations pratiques » (Ed. Larcier).

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés de cette fin d’année figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne

Lettre Juristendance Informatique et libertés n°78, Novembre-Décembre 2017.