Juristendances « Informatique et libertés » n° 79 – 2018

Juristendances « Informatique et libertés » n° 79 – 2018A retenir dans la Lettre Juristendances Informatique et libertés de ce début d’année, la recommandation par le Conseil national des barreaux de notre offre de DPO externalisé parmi les offres du marché ainsi que la publication par la Ficime et Lexing Alain Bensoussan Avocats d’un Guide pratique RGPD pour tout comprendre du règlement européen.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés de ce début d’année figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne

Lettre Juristendance Informatique et libertés n°79, Janvier-Février 2018.




Juristendances « Informatique et libertés » n° 78 – 2017

Juristendances « Informatique et libertés » n° 77 – 2017A retenir dans la Lettre Juristendances Informatique et libertés des mois de Novembre-Décembre, le lancement à  partir de janvier des « Afterworks Lexing » ainsi que la parution de l’édition 2018 de notre ouvrage « Règlement européen sur la protection des données : Textes, commentaires et orientations pratiques » (Ed. Larcier).

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés de cette fin d’année figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne

Lettre Juristendance Informatique et libertés n°78, Novembre-Décembre 2017.




Juristendances « Informatique et libertés » n° 77 – 2017

Juristendances « Informatique et libertés » n° 77 – 2017Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés des mois de Septembre-Octobre, figurent notamment :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

FORMATIONS :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°77, Septembre-Octobre 2017




Accès à son dossier médical : le rappel à l’ordre de la CNIL

Accès à son dossier médicalLa Cnil a de nouveau sanctionné un professionnel libéral refusant l’ accès à son dossier médical à un ancien patient. Elle a publié en juin un rappel à l’ordre relatif à l’accès au dossier médical des patients, à l’occasion d’une sanction prononcée contre un cabinet dentaire (1).

Accès à son dossier médical

Un ancien patient avait demandé une copie de son dossier médical au cabinet dentaire, qui avait refusé. L’ancien patient avait alors porté plainte auprès de la Cnil pour refus de communication de son dossier médical.

L’article L.1111-7 du Code de la santé publique lui assure en effet le droit d’accéder aux données de santé le concernant :

« Toute personne a accès à l’ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels et établissements de santé, qui sont formalisées ou ont fait l’objet d’échanges écrits entre professionnels de santé » .

L’article 39 de la loi Informatique et libertés permet également aux personnes concernées d’obtenir « La communication, sous une forme accessible, des données à caractère personnel qui la concernent ».

Communication du dossier médical

La communication du dossier médical doit s’effectuer dans un délai bien précis : entre 2 et 8 jours après la demande du patient. Ce délai est porté à 2 mois lorsque les informations médicales datent de plus de cinq ans.

Le cabinet dentaire n’ayant pas fait droit à la demande du patient, et ce malgré la mise en demeure de la Cnil et la relance adressée, la Cnil a prononcé par une délibération du 18 mai 2017 une sanction pécuniaire de 10.000 € et la publication de la délibération de façon anonymisée.

A l’occasion de cette sanction, la Cnil rappelle que « chaque professionnel de santé doit mettre en place une procédure permettant de répondre aux demandes faites par le patient d’accéder aux données figurant dans son dossier médical et administratif. ».

Elle souligne par ailleurs que chaque année, elle reçoit un nombre significatif de plaintes concernant le droit d’accès à un dossier médical, dont la moitié concerne des médecins libéraux.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

(1) Délibération de la formation restreinte de la Cnil SAN – 2017-008 du 18-5-2017 prononçant une sanction pécuniaire à l’encontre de la société d’exercice libéral à responsabilité limitée X




Données de dossiers passagers : la CJUE bloque l‘accord UE-Canada

Données de dossiers passagersL’accord sur le transfert des données de dossiers passagers ne peut être conclu sous sa forme actuelle selon la CJUE. 

L’accord des données de dossiers passagers (PNR) UE-Canada n’est pas conforme au droit de l’UE

Le projet d‘accord entre l’Union européenne et le Canada sur le transfert et le traitement des données de dossiers passagers (accord PNR) signé en 2014 n’est pas conforme au droit de l’Union européenne : c’est ce qu’a déclaré la Cour de justice de l’Union européenne (CJUE) dans un avis rendu le 26 juillet 2017 (1).

La CJUE estime que si le transfert, la conservation et l’utilisation systématiques de l’ensemble des données de dossiers passagers que prévoit l’accord sont pour l’essentiel admissibles, plusieurs dispositions du projet ne répondent pas aux exigences découlant des droits fondamentaux de l’Union.

Incompatibilité d’un accord international avec la Charte des droits fondamentaux de l’UE

Rappelons que l’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données de dossiers passagers (accord PNR) qui a été signé en 2014.

Cet accord permet le transfert systématique et continu des données de dossiers passagers de l’ensemble des passagers aériens de l’UE aux autorités canadiennes, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers.

Le Conseil de l’Union européenne ayant demandé au Parlement européen de l’approuver, ce dernier avait décidé de saisir la CJUE pour savoir si l’accord envisagé était conforme au droit de l’Union et, en particulier, aux dispositions relatives au respect de la vie privée ainsi qu’à la protection des données à caractère personnel.

On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.

Ingérence dans le droit fondamental à la protection des données personnelles et absence de règles claires et précises

Pour la Cour, si les ingérences dans les droits fondamentaux des citoyens européens sont justifiées car elles visent à garantir la réalisation d’un objectif visant à garantir la sécurité publique contre le terrorisme et la criminalité transnationale grave, « plusieurs dispositions de l’accord ne sont pas limitées au strict nécessaire et ne prévoient pas des règles claires et précises ».

En particulier, le transfert des données dites « sensibles », c’est à dire les données révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou concernant « l’état de santé ou la vie sexuelle d’une personne » et dont le transfert vers le Canada devrait être justifié par d’autres motifs que ceux visant la protection de la sécurité publique, est incompatible avec les droits fondamentaux du fait d’un risque de traitement contraire au principe de non-discrimination.

Traitement des données pendant le séjour des passagers au Canada : nécessité de justifier de circonstances nouvelles

Par ailleurs, si le traitement de données de dossiers passagers qui se trouvent au Canada ou sont en partance de pays « ne dépasse pas les limites du strict nécessaire du fait de la conservation ou de l’utilisation systématique » des données de dossiers passagers, la CJUE estime que l’utilisation de ces données pendant leur séjour au Canada « doit se fonder sur des circonstances nouvelles justifiant cette utilisation » afin de « protéger les données contre les risque d’abus ».

Elle rappelle ici que si le traitement des données de dossiers passagers, dicté par un objectif de sécurité publique contre les menaces terroristes, doit faciliter et accélérer les contrôles de sécurité notamment aux frontières, il ne doit pas pour autant entrainer une ingérence dans la vie privée des passagers.

Alain Bensoussan
Audrey Cuenca
Lexing Economie numérique

(1) CJUE, Communiqué de presse n°84/17 du 26-7-2017, Avis 1/15, Curia.Europa.eu.




Juristendances « Informatique et libertés » n° 76 – 2017

Juristendances « Informatique et libertés » n° 76 – 2017Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés du mois de juillet-août, figurent notamment :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

FORMATIONS :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions) et la parution nos deux ouvrages Informatique Télécoms Internet (6e éd.), Ed. Francis Lefebvre 2017 et Droit des objets connectés et télécoms, Ed. Larcier (Collection Minilex).

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°76, Juillet-août 2017




Notifications des failles de sécurité : pourquoi attendre ?

Notifications des failles de sécurité : pourquoi attendre ?Face aux notifications des failles de sécurité : pourquoi attendre ? Les prestataires de services de confiance et OIV ont, dès à présent, des obligations.

Comme nous l’indiquions dans de précédents articles, à compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles (1 et 2).

Pourtant, certains organismes n’auront pas à attendre mai 2018 pour mettre en place une procédure de notification des failles de sécurité.

La loi Informatique et libertés visait déjà à l’article 34 bis les fournisseurs au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Les prestataires de services de confiance et OIV face aux failles de sécurité doivent être réactifs et les notifier au plus vite.

Les PSCO face aux notifications des failles de sécurité : pourquoi attendre ?

Le Règlement eIDAS applicable depuis juillet 2016 (3 et 4), prévoit en son article 19.2 cette obligation de notification pour les PSCO (prestataires de services de confiance), c’est-à-dire les prestataires de signatures électroniques, cachets électroniques certificats électroniques, vérification ou conservation de signatures électroniques, horodatage électronique, envois recommandés électroniques et authentification de sites web.

Tous les PSCO sont concernés, qu’ils soient qualifiés eiDAS ou non. Ils sont garants de la confiance dans leurs services.

Les PSCO établis en France doivent notifier à l’Anssi (organe de contrôle des PSCO) et à la Cnil :

  • dans les meilleurs délais et au maximum 24 heures après en avoir eu connaissance ;
  • toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Si la faille de sécurité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service de confiance a été fourni, le PSCO doit également notifier :

  • dans les meilleurs délais ;
  • à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

L’obligation ne s’arrête pas là, car l’Anssi ou la Cnil informeront :

  • les organes de contrôle des autres États membres concernés ainsi que l’ENISA, si la faille de sécurité concerne deux États membres ou plus ;
  • le public (à moins qu’il ne l’exige du PSCO) dès lors qu’elles constateront qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

Les OIV face aux notifications des failles de sécurité : pourquoi attendre ?

Selon l’article R1332-41-10 du Code de la défense et en cas d’incident, l’opérateur d’importance vitale (OIV) doit communiquer :

  • sans délai et par un formulaire spécifique ;
  • selon le moyen approprié à la sensibilité des informations déclarées ;
  • les informations sur les incidents affectant la sécurité ou le fonctionnement des systèmes d’information d’importance vitale, notamment les incidents qui relèvent d’un type figurant à l’annexe IV des arrêtés sectoriels (voir pour exemple l’arrêté du 28 novembre 2016 – annexe classifiée) (5 et 6).

Qui plus est, les informations transmises doivent être complétées au fur et à mesure de l’analyse de l’incident et l’OIV doit être en mesure de répondre aux demandes complémentaires de l’Anssi.

Les autres acteurs face aux notifications des failles de sécurité : pourquoi attendre ?

Les articles 14 à 18 de la Directive dite « SRI » ou « NIS » (7) imposent aux Etats membres de prévoir dans leurs législations nationales des notifications d’incidents ayant un impact significatif sur la fourniture d’un service par les opérateurs de services essentiels et les fournisseurs de services numériques (places de marché en ligne, moteurs de recherche en ligne et services en cloud).

En conclusion, cette obligation pesant sur les PSCO et les OIV et par voie de conséquence sur leurs prestataires vis-à-vis d’eux, est extrêmement contraignante et gage de transparence. Les services de confiance et les OIV ne sont en effet pas des services comme les autres. Destinés à assurer la confiance dans les transactions et échanges électroniques, ils transportent des données à caractère personnel nombreuses, très « identifiantes » et indispensables pour la délivrance de ces services.

Polyanna Bigle
Lexing Sécurité des systèmes d’information

Pour aller plus loin :
(1) Virginie Bensoussan-Brulé, RGPD Notification des violations de données personnelles, Alain-Bensoussan.com 4-5-2017.
(2) Virginie Bensoussan-Brulé, Cyberattaques : comment réagir en cas de failles de sécurité ? Alain-Bensoussan.com 5-1-2017.
(3) Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23-7-2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L 257 du 28-8-2014, p. 73–114).
(4) Petit-déjeuner débat du 11-5-2016 « Règlement eIDAS sur l’identification pour les transactions électroniques », animé notamment par Polyanna Bigle, Alain-Bensoussan.com 19-4-2016.
(5) Didier Gazagne, Arrêtés sectoriels relatifs à la cybersécurité des OIV, Alain-Bensoussan.com 3-4-2017.
(6) Arrêté du 28-11-2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Industrie » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense.
(7) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6-7-2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JOUE L 194 du 19-7-2016).

 




Le code de conduite Privacy en santé mobile retoqué par le G29

code de conduite Privacy en santé mobileLe G29 vient de publier ses commentaires spécifiques sur le projet de code de conduite Privacy en santé mobile M-Santé.

Des commentaires spécifiques au code de conduite Privacy en santé mobile

Le G29 a rendu publique sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3) dans laquelle il livre ses « commentaires spécifiques » relatifs à sa conformité au regard de la directive de protection des données de 1995 et des exigences du RGPD.

Le code de conduite sur le respect de la vie privée et les applications de santé mobile (mHealth), a pour objet de contribuer à promouvoir la confiance des utilisateurs envers les applications de santé mobile. Sa structure et son contenu ont fait l’objet de nos précédents commentaires (3).

Dans sa lettre, le G29 expose qu’en l’état, le projet de code de conduite qui lui est soumis ne remplit pas les niveaux d’exigence requis pour obtenir son approbation, et délivre l’ensemble des indications ou « commentaires spécifiques » permettant de l’approcher, notamment s’agissant des exigences du RGPD, et ce, dans le cadre d’une démarche collaborative entre la Commission européenne et le porteur du projet de code de conduite.

Code de conduite Privacy en santé mobile : suivi et gouvernance

Les premiers du G29 portent sur les organes de gouvernance proposés par le code, dans la mesure où ces organes pourront être agrées par l’autorité de contrôle compétente afin de contrôler son respect.

Le G29 considère que, selon RGPD, le code devrait définir les recours, mécanismes de résolution des litiges et sanctions associées, par exemple la publicité des violations du code et modalités d’information des autorités de contrôle nationales.

Il considère qu’il serait utile de préciser les modalités de suivi des organisations du secteur par l’organe de gouvernance : période de suivi, nombre d’applications contrôlées et modalités de leur évaluation.

Tant les garanties d’indépendance, de transparence, et d’impartialité de cet organe, sa composition et les modalités de fonctionnement devraient également être précisés, dans la mesure où celui-ci doit être dirigé par des associations et organisations relevant de l’écosystème de la santé mobile et ou la question de leurs contributions financières respectives doit être renseignée.

Le G29 approuve ensuite l’introduction d’une certification, au-delà d’une simple déclaration de conformité, tout en exigeant que son mécanisme soit précisé (transparence des informations, suivi et coûts) et en reconnaissant que le processus de certification doit faire l’objet de lignes directrices « nécessaires », de la part du G29 à l’avenir.

Lignes directrices à destination des responsables de traitement

Pour le G29, le recueil du consentement doit être clairement requis selon les exigences posées par le RGPD tout en rappelant plus explicitement les conditions de loyauté et de légalité des traitements.

La question du consentement devrait par ailleurs tenir compte des problématiques liées aux traitements de données détenues par des tiers, de conservation des données, du retrait du consentement, et de son recueil auprès de mineurs.

Le G29 encourage aussi la mise en avant des risques pouvant être associés à l’utilisation des applications de santé mobile, en particulier s’agissant du traitement de données particulièrement sensibles ou des données à caractère personnel de mineurs.

Principes relatifs à la protection des données

Les G29 observe que les principes suivants devraient être indiqués explicitement par le code :

  • le caractère approprié des mesures de protection des données à caractère personnel ;
  • la précision et la qualité des données, leur accessibilité, ainsi que les mesures de sécurité relatives à la conservation des données.

De façon générale, les grands principes devraient faire l’objet d’une plus grande contextualisation et d’exemples concrets.

En particulier le G29 observe que le projet de code ne précise pas si les principes d’ « acccountability » du RGPD (mise en œuvre d’un processus de mise en conformité et de sa preuve) et de sécurité des données sont des principes légaux impératifs ou de simples bonnes pratiques que les développeurs doivent observer.

Information, transparence et individus concernés

Le G29 estime que la distinction entre responsables de traitement et sous-traitants doit être effectuée afin de préciser les rôles et les obligations de chacun, car ces précisions devraient être portées à la connaissance de l’individu concerné en amont du traitement. A minima, comme l’impose le RGPD, l’identité et points de contact du responsable de traitement ainsi que le point de contact uniforme en cas de coresponsabilité dans le traitement doivent être précisés.

D’autre part, le G29 estime que le code ne précise pas la manière dont les individus peuvent exercer leurs droits et comment les responsables de traitement peuvent répondre aux demandes associées.

Le sujet du droit à la portabilité des données devrait quant à lui être traité en prenant en considération les lignes directrices publiées par le G29 sur le sujet.

Enfin, le G29 recommande de préciser les incidences des évolutions applicatives augmentant les champs des traitements, concernant leurs notifications aux utilisateurs.

Code de conduite Privacy en santé mobile : la sécurité

Le G29 estime que le code devrait détailler comment tenir compte de la mise en œuvre des principes de « privacy by design » et de « privacy by default » au cours du processus de développement des applications, et des durées de conservation des données.

Il souhaite que la notion d’anonymisation complète de jeux de données soit précisée dans le code, en tant que processus qui ne permet pas d’identification et irréversible, tout en sensibilisant les développeurs aux risques associés à la re-identification des individus.

Le G29 estime également que le cryptage de données doit être rapproché de la nécessité de pouvoir les communiquer, en toute sécurité, en recourant à un procédé d’authentification forte, en particulier si des tiers, comme des médecins, doivent pouvoir avoir accès aux données sur autorisation de leur patient.

Code de conduite Privacy en santé mobile : la publicité

Le G29 souhaite que le code précise les base légales selon lesquelles la prospection est autorisée dans le cadre de traitements, en particulier, au regard des dispositions du RGPD.

Transfert dans des pays tiers

Le G29 estime que le code devrait mentionner, par référence au RGPD, que lorsque les données font l’objet d’un transfert vers des autorités publiques ou privées établies dans un pays tiers, le pays de destination doit être indiqué.

Code de conduite Privacy en santé mobile : Principes généraux

Le G29 a en outre délivré un certain nombre de lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens, qui ont vocation à prendre une importance considérable sous l’empire du RGPD, en vigueur en mai 2018.

Ces lignes directrices fondamentales et générales, ainsi que le processus d’élaboration et la place des codes de conduites au sein de la nouvelle règlementation ont fait l’objet, de nos commentaires (4).

L’évolution du processus d’élaboration de ce code de conduite sur un mode collaboratif entre le porteur de projet et la Commission européenne doit être surveillé par les acteurs de la santé mobile dans la mesure où il vocation à préciser les modalités d’implémentation du RGPD dans ce secteur.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, RGPD et codes de conduite : Les exigences du G29, Alain-Bensoussan.com 8-6-2017.‎




RGPD et codes de conduite : les exigences du G29

RGPD et codes de conduite

RGPD et codes de conduite : le G29 analyse la conformité des codes de conduites face aux exigences posées  par le RGPD, la lettre du G29 délivre les différents points à respecter.

A l’occasion de sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3), le G29 a délivré ses commentaires relatifs à la conformité des codes de conduite, au regard des exigences posées par la directive de protection des données de 1995 et du RGPD, en dégageant un certain nombre de principes fondamentaux et généraux relatifs à leur élaboration.

Les commentaires du G29 constituent ainsi pour partie de véritables lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens qui ont vocation à prendre une importance considérable sous l’empire du RGPD entrant en vigueur en mai 2018.

Le rôle conféré par le RGPD aux codes de conduite

L’application du principe d’ « accountability » tel que défini par le RGPD impose :

  • la mise en place par l’organisation concernée, d’un processus permanent et dynamique de mise en conformité ;
  • de pouvoir rapporter la preuve des mesures de mise en conformité prises.

A cet effet, le RGPD prévoit des méthodologies permettant de démontrer la conformité de traitements sous la forme notamment de « certifications », de « labels » et en particulier, de « codes de bonne conduite » (4) dont l’application « (…) peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement » (5) et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse (6).

RGPD et codes de conduite : le processus d’approbation

Les projets de codes de conduite doivent être présentés pour approbation à l’autorité nationale de contrôle (ou à la Commission européenne après avis du comité européen de protection des données si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres), qui vérifie s’ils présentent des garanties appropriées suffisantes en vue du respect du RGPD.

C’est donc dans le cadre de ce processus qu’est intervenue la publication de la lettre du G29 sur le code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) (1).

Une fois approuvés, ces codes de conduite peuvent être enregistrés, rendus publics et, sur décision de la Commission, être considérés comme d’application générale au sein de l’Union.
Quant au contrôle de leur respect, il peut être mis en œuvre par un organisme disposant d’un niveau d’expertise approprié au regard de l’objet du code, qui serait agréé à cette fin par l’autorité de contrôle compétente.

RGPD et codes de conduite : les principes fondamentaux

Dans sa lettre, le G29 rappelle en premier lieu les principes généraux fondamentaux qui doivent impérativement guider l’élaboration de tout code de conduite :

  • être conforme au RGPD et à ses transpositions en droit national ;
  • être de qualité et apporter une valeur ajoutée tant au RGPD qu’aux législations nationales applicables en matière de protection des données ;
  • sa valeur ajoutée peut être démontrée au regard de problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles ;
  • avoir pour objet de spécifier et préciser l’application de la règlementation.

RGPD et codes de conduite : les principes généraux

Le G29 délivre dans un second temps des commentaires généraux relatifs au projet de code de conduite qui lui était soumis, qui constituent eux aussi des points cardinaux applicables à tous les projets de codes de conduite. Il considère de manière générale :

  • qu’il n’apporte pas suffisamment de valeur ajoutée par rapport à la Directive (RGPD) ;
  • qu’il doit être clarifié, comporter plus de référence au référentiel légal existant, en particulier concernant le secteur spécifique de la santé mobile concerné ;
  • qu’il doit notamment faire le lien entre RGPD et législations nationales, en particulier lorsque le premier laisse une liberté de transposition aux secondes ;
  • il devrait prendre en compte d’autres éléments de la règlementation qui impactent la conformité en matière de protection des données, comme la « directive ePrivacy » s’agissant de la mise en œuvre des cookies ; le règlement « eIDAS » (en matière d’identification électronique et de services de confiance), ou la directive 93/42/CE relative aux dispositifs médicaux ;
  • il doit clarifier le rôle des différents acteurs concernés dans les traitements mis en œuvre et les différents niveaux d’obligations correspondantes (responsable du traitement et sous-traitant).

L’ensemble de ces principes généraux constituent une grille de lecture indispensable pour les porteurs de projets de codes de conduite recherchant leur approbation par la Commission européenne afin de contribuer à l’enrichissement normatif européen et à une prise de position compétitive dans leur secteur.

RGPD et codes de conduite : les applications de santé mobile (M-Health)

La lettre du G29 contient, au-delà des principes exposés ci-avant, une analyse du code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) à travers des observations et questions spécifiques qui font l’objet de nos commentaires distincts (1).

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) RGPD articles 40 et 41
(5) RGPD article 24
(6) RGPD article 83




Juristendances « Informatique et libertés » n° 75 – 2017

Juristendances « Informatique et libertés » n° 75 – 2017A signaler ce mois-ci la parution de nos deux ouvrages Informatique Télécoms Internet (6e éd.), Ed. Francis Lefebvre 2017 et Droit des objets connectés et télécoms, Ed. Larcier (Collection Minilex).

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

FORMATIONS :

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et Libertés n°75, Mai-juin 2017.




Informatique et libertés Bilan et perspectives

Informatique et libertés bilan et perspectivesPetit-déjeuner du 6 septembre 2017 « Informatique et libertés Bilan et perspectives » – Alain Bensoussan.

Informatique et libertés Bilan

Le dernier rapport d’activité de la Cnil montre que l’année 2016 a été marquée à la fois par des évolutions réglementaires majeures mais également par des condamnations importantes (Google Inc., Facebook, Microsoft, etc.). Ces condamnations montrent une volonté de la part de la Cnil de renforcer ses sanctions envers les entreprises.

La Cnil a également revu sa doctrine en matière de contrôle d’accès biométrique des dispositifs utilisés dans le cadre privé et pris position sur les enjeux du chiffrement et des « portes dérobées ». Elle s’est aussi fixée comme objectif d’élaborer un pack de conformité dédié à l’open data.

La loi pour une République numérique adoptée en octobre 2016 a renforcé les pouvoirs de la Cnil et crée de nouveaux droits pour les personnes concernées. La loi pour une république numérique constitue un premier pas vers l’implémentation du Règlement général de protection des données (RGPD) qui devra être appliqué en mai 2018.

Informatique et libertés perspectives

L’année 2017 s’annonce également riche en actions pour la Cnil qui a mis en place un plan d’action national pour accompagner les entreprises dans la mise en application du RGPD.

Les entreprises ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance qu’elles ont mis en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais impartis.

Nous vous avons proposé, dans le cadre de ce petit-déjeuner débat, de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés.

Le petit-déjeuner débat a eut lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




RGPD Notification des violations de données personnelles

notification des violations de données personnellesA compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles.

En effet, le règlement général sur la protection des données (RGPD) (Rég. UE 2016/679 du 27-4-2016) généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.

Ces obligations s’appliquent à tous les responsables de traitement, c’est-à-dire à tout organisme qui « détermine les finalités et les moyens du traitement » (Art. 4, 7° du RGPD), et non plus seulement aux entreprises fournissant des services de communications électroniques, comme le droit français l’impose à l’heure actuelle.

L’obligation de notification des violations de données personnelles à l’autorité de contrôle

L’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel est introduite par l’article 33 du RGPD.

En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans ce délai, il convient de l’informer des motifs du retard. En France, l’autorité de contrôle compétente est la Cnil.

Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de :

  • la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • du nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • des conséquences probables de la violation de données à caractère personnel ;
  • des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

S’il n’est pas possible de fournir toutes ces informations en même temps, elles peuvent l’être par étapes, dans un délai raisonnable.

De plus, le responsable du traitement doit documenter toute violation des données à caractère personnel, en décrivant les faits et les mesures qui ont été prises afin de permettre à la Cnil de vérifier qu’il a bien respecté son obligation de notification.

Il existe cependant une dérogation à cette obligation de notification des violations de données personnelles lorsque les violations en question ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques. En outre, dans l’attente de la mise en œuvre du règlement et au regard des rapports publiés sur le sujet, cette obligation ne s’imposerait que pour les données qui pourraient être lues (2). Les failles concernant les données fortement chiffrées, rendant l’identification des données et des personnes, impossible n’auraient pas à être notifiées.

Le devoir de communication aux personnes concernées

L’obligation de notification des violations de données personnelles aux personnes concernées est introduite par l’article 34 du RGPD.

Conformément à cet article, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La communication à la personne concernée doit être claire et simple, et contenir les informations suivantes :

  • le nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences probables de la violation de données à caractère personnel ;
  • les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Il existe certaines dérogations à la notification des violations de données personnelles aux personnes concernées lorsque :

  • le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
  • le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;
  • elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

Dans l’éventualité où le responsable du traitement ne remplirait pas cette obligation de notification des violations de données personnelles à la personne concernée, l’autorité de contrôle peut intervenir et exiger du responsable du traitement qu’il procède à cette communication.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1–88)
(2) J. Ph. Albrecht, Rapport sur la proposition de règlement, Doc. A7-0402-2013 du 21-11-2013, amendement 64, p. 477.




Quelles sont les sanctions Cnil à l’encontre des entreprises

Quelles sont les sanctions Cnil à l’encontre des entreprisesEn cas de violation de la loi Informatique et libertés, sont prévues des sanctions Cnil à l’encontre des entreprises.

La loi Informatique et libertés organise les sanctions Cnil à l’encontre des entreprises

Les détails de ce pouvoir de sanction se trouvent aux articles 45 et suivants de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, récemment modifiée par la loi pour une République numérique du 7 octobre 2016, déjà en vigueur. Certains précisions relatives à la procédure sont, par ailleurs, contenues dans le décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n°78-17 (art. 70 à 82), utile à consulter.

Ces pouvoirs de la Cnil peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Union européenne (L. 78-17, art 48).

En outre, le président de la Cnil ou sa formation restreinte peuvent, à la demande d’une autorité exerçant des compétences analogues aux leurs dans un autre Etat membre de l’Union européenne, prononcer ces sanctions (L. 78-17, art. 49), dans les conditions prévues par la loi, sauf s’il s’agit de traitements spécifiques, id est des traitements mis en œuvre pour le compte de l’Etat dont le contenu impose qu’ils soient autorisés par arrêté ministériel ou décret en Conseil d’Etat (Traitements mentionnés aux I et II de l’article 26 de la loi 78-17).

Sanctions Cnil à l’encontre des entreprises en cas de non-respect de leurs obligations

Le premier paragraphe de l’article 45 de la loi de 1978 prévoit que la Cnil peut prononcer plusieurs types de sanction dans le cas où le responsable d’un traitement ne respecterait par les obligations procédant de cette même loi.

Mesures préalables aux sanctions Cnil à l’encontre des entreprises

Dans un premier temps, le président de la Cnil peut mettre ce responsable en demeure (1) de faire cesser le manquement constaté dans un délai qu’il fixe, pouvant, dans un cas d’extrême urgence, être de 24h. Ce délai raccourci, qui remplace celui de 5 jours, est un des apports de la réforme opérée par la loi pour une République numérique. Si le responsable du traitement se conforme à la mise en demeure, le président de la Cnil prononce la clôture de la procédure.

Dans le cas contraire, c’est un autre organe de la Cnil, sa formation restreinte (2), qui prendra le relai et pourra, après une procédure contradictoire, prononcer différentes sanctions.

La Cnil pourra, d’abord, prononcer un avertissement.

Les sanctions Cnil à l’encontre des entreprises peuvent être pécuniaires

La Cnil pourra ensuite choisir de sanctionner pécuniairement le responsable du traitement, à l’exception des cas ou le traitement est mis en œuvre par l’Etat. Quant au montant de cette sanction pécuniaire, les règles entourant sa fixation ont été, elles aussi, modifiées par la loi pour une République numérique. Le nouvel article 47 de la loi du 6 janvier 1978 dispose désormais que le montant de l’amende ne peut excéder 3 millions d’euros (3), ce qui représente une multiplication par dix du plafond antérieur. Cette nouvelle version de l’article détaille également plus précisément qu’auparavant les critères pouvant être pris en compte dans l’évaluation de ce montant (4). Rappelons que lorsque la formation restreinte a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Les sanctions Cnil à l’encontre des entreprises peuvent remettre en cause le traitement

La formation restreinte de la Cnil pourra, enfin, si le responsable d’un traitement ne respecte pas les obligations découlant de la loi de 1978, prononcer à son encontre une injonction de cesser le traitement ou retirer son autorisation au traitement, selon le type de traitement en cause (nécessitant, préalablement à sa mise en œuvre, une simple déclaration ou une autorisation).

Ces différentes sanctions peuvent être prononcées par la formation restreinte de la Cnil indépendamment d’une procédure de mise en demeure «lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure», par exemple dans des cas où la mise en conformité serait impossible puisque les données traitées auraient disparu. Avant la loi pour une République numérique du 7 octobre 2016, seul un avertissement pouvait être prononcé par la formation restreinte hors procédure de mise en demeure.

Les sanctions Cnil à l’encontre des entreprises en cas de violation des droits et libertés individuels et publics

Le second paragraphe de l’article 45 vise les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraine une violation des droits et libertés mentionnées à l’article 1er de la loi de 1978 (identité humaine, droits de l’homme, vie privée, libertés individuelles et publiques). La formation restreinte, saisie par le président de la Cnil, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat que l’on retrouve dans l’article 79 du décret du 20 octobre 2005, et après une procédure contradictoire, prononcer plusieurs types de sanctions.

Elle peut prononcer un avertissement. Elle peut, d’autre part, décider de l’interruption de la mise en œuvre du traitement ou le verrouillage de certaines des données à caractère personnel traitées, pour un durée maximale de trois mois, ces deux sanctions n’étant possibles que si le traitement en cause n’est pas au nombre de ceux mentionnés aux I et II de l’article 26 ou de l’article 27 de la loi de 1978 (traitements qui, au regard de leur contenu, doivent être autorisés par arrêtés ministériels, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil).

Pour les traitements qui relèvent précisément de ces articles, la formation restreinte peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée.

Les sanctions Cnil à l’encontre des entreprises en cas d’atteinte grave et immédiate à ces droits et libertés

Enfin, le dernier paragraphe de l’article 45 permet au président de la Cnil de demander, en cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er, par la voie du référé (5), à la juridiction compétente d’ordonner (le cas échéant sous astreinte) toute mesure nécessaire à la sauvegarde de ces droits et libertés.

Le prononcé de ces sanctions suit des règles procédurales contenues dans le décret du 20 octobre 2005 et dans le premier alinéa de l’article 46 de la loi de 1978 (6). Ce qui fait leur force est aussi leur impact sur la réputation des entreprises concernées ; aussi la loi de 1978 organise un système de publicité des sanctions Cnil (L. 78-17, art. 46 al. 2). La formation restreinte peut les rendre publique, ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées (encore une nouveauté de la loi pour une République numérique du 7 octobre 2016 !), et peut ordonner leur insertion dans des publications journaux et supports qu’elle désigne. Par ailleurs, le président de la Cnil peut demander au bureau de rendre publique la mise en demeure ou sa clôture. Ces sanctions sont motivées, notifiées au responsable du traitement et peuvent faire l’objet d’un recours en pleine juridiction devant le Conseil d’Etat (L. 78-17, art. 46 al. 3).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Pour plus de détails sur la procédure de mise en demeure, voir l’article 73 du décret 2005-1309 du 20 octobre 2005.
(2) Pour plus de détails sur la composition et le fonctionnement de la formation restreinte de la Cnil, voir l’article 70 du décret du 20 octobre 2005.
(3) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(4) « Le montant de la sanction (…) est proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Cnil prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».
(5) Des détails à ce propos se trouvent dans l’article 81 du décret du 20 octobre 2005.
(6) « Les sanctions (…) sont prononcées sur la base d’un rapport établi par l’un des membres de la Cnil, désigné par le président de celle-ci parmi les membres n’appartenant pas à la formation restreinte. Ce rapport est notifié au responsable du traitement, qui peut déposer des observations et se faire représenter ou assister. Le rapporteur peut présenter des observations orales à la formation restreinte mais ne prend pas part à ses délibérations. La formation restreinte peut entendre toute personne dont l’audition lui paraît susceptible de contribuer utilement à son information, y compris, à la demande du secrétaire général, les agents de service».

 




Juristendances « Informatique et libertés » n° 74 – 2017

Juristendances Informatique et libertés n° 74-2017A signaler ce mois-ci la parution de notre ouvrage General data protection regulation aux Editions Wolters Kluwer 2017.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

FORMATIONS :

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et Libertés n°74, Mars-avril 2017.
.



Parution de l’ouvrage “General data protection regulation”

General data protection regulation : texts, commentaries & practical guidelines“General data protection regulation : texts, commentaries & practical guidelines” est publié chez Wolters Kluwer.

Il est rédigé par Alain Bensoussan, Jean-François Henrotte (Lexing Belgique), Marc Gallardo (Lexing Espagne) et Sébastien Fanti (Lexing Suisse).

Le règlement européen sur la protection des données du 27 avril 2016, dont les dispositions seront applicables dans l’ensemble des Etats membres de l’Union européenne dans quasiment un an jour pour jour (le 25 mai 2018), marque un tournant dans la régulation des données personnelles (1).

Le compte à rebours a commencé : les entreprises vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés.

A défaut, elles risquent de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même pénales.

L’enjeu est primordial : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial !

Une chose est certaine : dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises.

C’est la raison pour laquelle il a semblé utile aux membres du réseau international Lexing, fondé par Alain Bensoussan, de brosser un tableau des nouvelles contraintes pesant dans ce domaine sur les entreprises, en publiant en langue anglaise ce premier commentaire, article par article, du règlement 2016/679.

Cette publication s’adresse principalement à tous ceux qui sont concernés par l’application du règlement et la mise en conformité au regard de ses dispositions, en vue de son application en 2018 : juristes d’entreprises, avocats, correspondants informatique et libertés (CIL) délégués à la protection des données (DPO), mais aussi responsables de la sécurité des systèmes d’information (RSSI) et responsables de la conformité.

L’ouvrage a été préfacé par Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) et présidente du Groupe de l’article 29 (G29).

General data protection regulation
Texts, commentaries and practical guidelines
Alain Bensoussan, Jean-François Henrotte, Marc Gallardo, Sébastien Fanti
Prefaced by Isabelle Falque-Pierrotin, Chair of the Article 29 Data Protection Working Party (WP29),
Editions Wolters Kluwer 2017, également disponible en version e-book – 528 p.

Eric Bonnet
Directeur du Département Communication juridique

(1)  Voir déjà « Règlement européen sur la protection des données », par Alain Bensoussan,  Céline Avignon, Virginie Bensoussan-Brulé et Chloé Torres, Larcier, octobre 2016




Procédure à suivre devant la formation restreinte de la Cnil

Procédure à suivre devant la formation restreinte de la Cnil

La loi pour une République numérique modifie la procédure de sanction devant la formation restreinte de la Cnil.

Les modifications de la procédure de sanction

La loi pour une République numérique du 7 octobre 2016 opère une refonte de la procédure de sanction devant la formation restreinte de la Cnil. Avant cette loi, en cas de manquement à la loi Informatique et libertés par le responsable de traitement, la formation restreinte de la Cnil ne pouvait pas prononcer de sanction financière sans mise en demeure préalable. En effet, une sanction financière ne pouvait être prononcée que pour sanctionner le non-respect d’une mise en demeure.

Désormais, la formation restreinte de la Cnil peut prononcer une sanction financière directement, sans mise en demeure préalable lorsque le manquement ne peut pas faire l’objet d’une mise en conformité.

Lorsque le manquement peut faire l’objet d’une mise en conformité, alors la formation restreinte de la Cnil devra, si elle veut sanctionner financièrement le responsable de traitement, constater qu’il n’a pas respecté la mise en demeure initiale.

Les conséquences de la modification

Cette modification devrait avoir pour conséquence de permettre à la formation restreinte de la Cnil de prononcer plus de sanctions financières et plus rapidement dans la mesure où elle n’est plus tenue de mettre en demeure préalablement le responsable de traitement si le manquement ne peut faire l’objet d’une mise en conformité.

A cet égard, il conviendra de surveiller les futures délibérations de la Cnil pour établir une cartographie des manquements qui seraient susceptibles d’une mise en conformité de ceux qui ne le seraient pas. En tout état de cause, il est essentiel dans ce nouveau cadre procédural, pour le responsable de traitement qui ferait l’objet d’un contrôle, de prendre les mesures correctives qui s’imposent dès la fin du contrôle pour démontrer à la Cnil préalablement à sa décision que les manquements pouvant être reprochés sont de nature à faire l’objet d’une mise en conformité afin de tenter d’éviter la procédure d’avertissement ou de sanction.

Cette démarche s’impose d’autant plus qu’en cas d’ « extrême urgence » (2), le délai accordé au responsable de traitement pour se mettre en conformité après mise en demeure est ramené à 24 heures au lieu de 5 jours auparavant.

Hors cas d’urgence, le délai est fixé par le Président de la Commission. Il ne peut être inférieur à 10 jours et ne peut être supérieur à 3 mois renouvelable une fois.

Cette modification des possibilités de sanctions financières directes n’est pas négligeable et devrait modifier l’appréciation des risques « Cnil » des responsables de traitement. En effet, ajoutée à l’augmentation des pouvoirs de sanctions financières de la Cnil (3 millions d’euros), la nature du contentieux Cnil et les risques auxquels un responsable de traitement serait exposé est sans commune mesure avec ce qui existait auparavant. Ceci n’est qu’un début de la mutation puisque le règlement européen sur la protection des données personnelles du 27 avril 2016 envisage des montants de 10 à 20 millions ou 2 à 4 % du chiffre d’affaires mondial (3).

A titre de comparaison, le contentieux Cnil va connaître la même métamorphose que celui du droit de la concurrence qui a profondément été modifié par la loi du 15 mai 2001 qui a fait passé le montant de la sanction pour pratiques anticoncurrentielles de 5% du chiffre d’affaires réalisé en France à 10% du chiffre d’affaires mondial (4).

Lexing Alain Bensoussan Avocats

(1) Loi 2016-1321 du 7-10-2016
(2) Loi 78-17 du 6-1-1978, art. 45
(3) Règlement (UE) 2016/679 du 27-4-2016
(4) Article L 464-2 du code de commerce tel que modifié par la loi n° 2001-420 du 15 mai 2001 relative aux nouvelles régulations économiques




Juristendances « Informatique et libertés » n° 73 – 2017

Juristendances Informatique et libertés n° 73-2016Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent notamment :

ARTICLES JURISTENDANCES :

FORMATIONS :

Pour recevoir tous les mois notre lettre électronique : inscription en ligne.

A signaler également :

Lettre Juristendances Informatique et Libertés n°73, Janvier-Février 2017.



Juristendances « Informatique et libertés » n° 72 – 2016

Juristendances Informatique et libertés n° 72-2016Parmi les actualités à retenir en cette rentrée dans la Lettre Juristendances Informatique et libertés figurent  notamment : 

ARTICLES JURISTENDANCES :

FORMATIONS :

A signaler également :

Pour recevoir nos Lettres Juristendances : inscription en ligne.

Lettre Juristendances Informatique et libertés n°72, Nov.-Déc. 2016.




La certification dans le règlement européen Data Protection

P. Lanternier, H. Legras, A. Bensoussan, L. MidrierLe cabinet a organisé le 24 janvier 2017 un petit-déjeuner débat sur le thème : « Règlement européen Data Protection : quelle place pour la certification ?  »

Ce débat a été animé par Alain Bensoussan, Hélène Legras, CIL mutualisé/ Data Protection Officer Groupe Areva, Vice-Présidente de l’ADPO, Philippe Lanternier, Chief development officer et Laurent Midrier, Vice President Strategy & Innovation, Bureau Veritas, qui débattront de la place faite par le nouveau règlement européen 2016/679 à la certification en matière de protection des données à caractère personnel.

De 9H00 à 11H30 (accueil café à 9H00)

Les entreprises, et particulièrement les grands groupes, ont d’ores et déjà intégré à leur politique de compliance les obligations découlant du règlement du 27 avril 2016, et le nécessaire redéploiement de nouvelles actions qu’il implique pour se mettre en conformité d’ici mai 2018.

Pour autant, le monde économique est demandeur d’une méthode lui permettant de se mettre en conformité avec la nouvelle réglementation et dans l’attente d’une norme qui lui permettra de traduire en pratique les contraintes nouvelles nées du règlement.

Quelle place pour la certification en matière de protection des données ? Quid d’un référentiel dédié à la protection des données personnelles ?

Autant de questions qui ont été abordées lors de ce petit-déjeuner débat qui a eu lieu dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

La vidéo de l’événement est diffusée sur notre Chaîne Lexing YouTube.




Loi Lemaire et protection des données personnelles : impacts

Loi Lemaire et protection des données personnelles : impacts

La loi Lemaire renforce la protection des données personnelles et anticipe le règlement européen 2016/679.

Le chapitre 2 de la loi pour une République numérique, dite « loi Lemaire » (1), est consacré à la protection de la vie privée en ligne et comprend un certain nombre de dispositions qui viennent modifier la loi Informatique et libertés (2) et anticiper l’applicabilité du règlement européen 2016/679 sur la protection des données (3).

Consécration de la notion d’empowerment

La loi Lemaire vient modifier l’article 1er de la loi Informatique et libertés en ajoutant que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Il est important de relever que ce droit est visé dans le même article que l’identité humaine, les droits de l’homme, la vie privée, les libertés individuelles ou publiques.

En conséquence, ce droit figure parmi ceux pour lesquels la formation restreinte de la Cnil, saisie par le président de la Commission, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat et après une procédure contradictoire notamment ,décider de l’interruption de la mise en œuvre du traitement pour une durée maximale de trois mois ou encore prononcer un avertissement visé au 1° du I de l’article 45 de la loi Informatique et libertés.

Consécration par la loi Lemaire du droit à la portabilité des données

La loi Lemaire vient insérer dans le Code de la consommation un nouveau droit du consommateur à la récupération et à la portabilité de ses données. Ce droit, tel qu’il est prévu dans la loi pour une République numérique, s’il anticipe les dispositions de l’article 20 du règlement européen qui crée un « droit à la portabilité des données » pour les personnes concernées, est plus étendu en ce qu’il ne concerne pas uniquement les données personnelles.

En effet, la loi Lemaire crée, en sus, une nouvelle obligation incombant aux fournisseurs de services de communication en ligne de proposer au consommateur une fonctionnalité gratuite permettant la récupération des données suivantes :

  • tous les fichiers mis en ligne par le consommateur ;
  • toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause. Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ;
  • les autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes :
    • ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
    • l’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services.

En revanche, ce droit à la portabilité de la loi Lemaire n’entrera en vigueur qu’à compter du 25 mai 2018, date d’entrée en vigueur du règlement européen 2016/679.

Droit des personnes décédées

Face à la multitude de données persistantes sur le web, en particulier sur les réseaux sociaux, la loi Lemaire, si elle prévoit que les droits d’accès, d’opposition, d’interrogation et de rectification s’éteignent au décès de leur titulaire, intègre néanmoins la possibilité pour les personnes d’organiser la gestion de leurs données en ligne une fois qu’elles seront décédées.

Ainsi, elle octroie la possibilité, pour toute personne, de son vivant, d’organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès.

Ses choix pourraient être enregistrés auprès d’un tiers de confiance certifié par la Cnil ou du responsable du traitement concerné, selon que les données seront générales ou particulières. La personne concernée pourra encore désigner une personne chargée de l’exécution de ses directives.

Par ailleurs, les prestataires de service de communication en ligne devront informer l’utilisateur du sort de ses données à son décès et lui permettre de choisir de les communiquer ou non à un tiers qu’il désigne.

Consécration du droit à l’oubli numérique des mineurs

La loi Lemaire insère au sein de la loi Informatique et libertés un droit à l’oubli spécifique des mineurs et une procédure dédiée accélérée (un mois à compter de la demande) pour l’exercice et la prise en compte de ce droit lorsque ses données ont été collectées dans le cadre de l’offre de service de la société de l’information.

Dès lors, les plateformes web (en ce incluant les réseaux sociaux, les moteurs de recherche ou encore les plateformes d’échanges en ligne) devront agir dans les meilleurs délais pour procéder à l’effacement des données concernées dès lors qu’elles concernent des personnes mineures au jour de la collecte.

Renforcement de l’information des personnes concernées

La loi pour une République numérique vient ajouter aux informations devant d’ores et déjà être portées à la connaissance des personnes concernées, aux termes de l’article 32 de la loi Informatique et libertés (2), l’obligation, pour le responsable du traitement, d’informer de l’existence d’un droit, pour la personne concernée, à définir des directives relatives au sort de ses données à caractère personnel après sa mort.

Ce droit concerne également la durée de conservation des données traitées ou, en cas d’impossibilité, les critères utilisés permettant de déterminer cette durée.

Toutefois, en ne sélectionnant que ces informations, la loi Lemaire ne reprend pas toutes les nouvelles exigences d’information posées par le règlement européen.

Facilitation de l’exercice des droits des personnes concernées

La loi Lemaire prévoit encore que, sauf dans le cas des traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat intéressant la sûreté de l’Etat, la défense ou la sécurité publique, le responsable du traitement  devra donner la possibilité à la personne concernée d’exercer ses droits par voie électronique, dès lors qu’il aura collecté les données personnelles de manière électronique.

L’abrogation de cet article est d’ores et déjà prévue pour le 25 mai 2018, date à laquelle le règlement européen sera applicable, dans la mesure où il prévoit lui-même, à son article 12, que lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

Pouvoir de sanction de la Cnil renforcé

Alors que le plafond maximal des sanctions pécuniaires pouvant être prononcées par la Cnil était de 150 000 euros, il passe avec la loi pour une République numérique à 3 millions d’euros pour une anticipation « intermédiaire » sur l’augmentation du plafond du montant des sanctions prévues par le règlement européen qui prévoit un montant pouvant atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

Elargissement des missions de la Cnil

La loi Lemaire prévoit la saisine de la Cnil pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatif à la protection des données à caractère personnel ou au traitement de telles données.

La loi pour une République numérique prévoit également la publicité systématique des avis de la Cnil sur ces projets de texte.

De même, la Cnil se voit investie d’une nouvelle mission de certifier, homologuer et publier des référentiels ou des méthodologies aux fins de certification des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation.

Coopération renforcée entre les autorités en interne

La loi pour une République numérique prévoit la possibilité d’une saisine réciproque de la Cnil et de l’Autorité de régulation des communications électroniques et des postes (Arcep) pour toute question concernant leurs domaines d’intervention respectifs.

Coopération renforcée entre les autorités européennes de protection des données

La loi Lemaire prévoit enfin que la Cnil pourra, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un État non membre de l’Union européenne, dès lors que le pays offre un niveau de protection adéquat, procéder à des opérations de contrôle et lui communiquer les informations qu’elle recueille ou qu’elle détient.

Pour ce faire, elle devra préalablement conclure une convention organisant ses relations avec l’autorité en question.

La loi Lemaire permet donc à la réglementation Informatique et libertés française de faire un premier pas vers le renforcement de la protection des données à caractère personnel et des missions de la Cnil par anticipation du règlement 2016/679 qui sera d’application immédiate dès le 25 mai 2018.

Les organismes responsables du traitement doivent reprendre les modifications apportées par la loi Lemaire pour identifier un plan d’actions de mise en conformité. Ces modifications doivent être intégrées dans la road map de mise en conformité au règlement européen. Les dispositions d’application immédiate de la loi Lemaire doivent être gérées en priorité.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(2) Loi 78-17 du 6-1-1978, art. 32.
(3) Règlement (UE) 2016/679 du 27-4-2016.




Mise en demeure publique de Microsoft par la Cnil

Mise en demeure publique de Microsoft par la CnilMicrosoft a été mise en demeure publiquement par la Cnil en raison de manquements à la Loi Informatique et libertés.

A la suite d’un contrôle effectué au sein de la société Microsoft Corporation de la solution Windows 10, la Commission nationale de l’informatique et des libertés (Cnil) ayant révélé des non-conformités à la loi Informatique et libertés, a mis en demeure publiquement Microsoft de se mettre en conformité à la réglementation dans un délai de 3 mois (1).

Microsoft a lancé son nouveau système d’exploitation Windows 10 au mois de juillet 2015. Alertée par la presse et les utilisateurs d’une possible collecte excessive de données à caractère personnel, la Cnil, désormais détentrice d’un pouvoir de contrôle en ligne depuis la loi Hamon (2), a effectué des contrôles en ligne en avril et juin 2016 et interrogé Microsoft, afin de s’assurer de la conformité de Windows 10 à la loi Informatique et libertés.

Ces contrôles ont révélé des non-conformités.

La non-pertinence et l’excessivité des données collectées

Tout d’abord, concernant la pertinence de la collecte des données de télémétrie, qui sont des données de diagnostic et d’utilisation renvoyées à Microsoft, cette dernière assurait que la collecte avait pour seule finalité l’identification et la résolution de problèmes, et l’amélioration des produits et services. Or, des données relatives à l’utilisation des applications Windows, telles que les applications téléchargées sur le système d’exploitation ou le temps passé sur ces applications, étaient collectées. Or, il ressort de la Déclaration de confidentialité de Microsoft, qui dressait la liste des données collectées, que certaines de ces données n’étaient pas directement nécessaires au bon fonctionnement du système d’exploitation. Par conséquent, la Cnil a considéré que Microsoft se livrait à une collecte excessive en ce que les données n’étaient pas nécessaires au bon fonctionnement du service.

Le non-respect de l’obligation d’information

La loi Informatique et libertés impose également au responsable du traitement d’informer l’utilisateur de la finalité et des moyens d’opposition à toutes actions tendant à accéder, par voie de transmission électronique à des informations stockées ou à inscrire dans l’équipement, comme les cookies ou, en l’espèce, de l’identifiant publicitaire. En ce sens, la Cnil avait déjà eu l’occasion de préciser (3) que le consentement à l’utilisation des cookies doit se manifester par une action positive de l’utilisateur, qui a auparavant été informé des conséquences de son choix. Dans le cas de Windows 10, l’identifiant publicitaire, étant activé par défaut, l’utilisateur n’effectuant aucune action positive l’autorisant. Qui plus est, aucune précision n’est portée à la connaissance de l’utilisateur quant aux moyens disponibles pour s’opposer à cette utilisation, ce qui constitue une autre non-conformité.

Une sécurité insuffisante

La menace présente de fraudes informatiques et de hacking dans une société où toutes les informations sont informatisées, nécessite une sécurité renforcée en matière de protection des données à caractère personnel. C’est pourquoi la loi Informatique et libertés impose au responsable du traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction de leur nature et des risques supposés. Or, Microsoft, en proposant seulement un mot de passe pouvant être constitué de 4 chiffres identiques, en ne mettant en place aucune suspension de l’authentification après 20 tentatives infructueuses de connexion, et en autorisant l’accès à l’ensemble des services en ligne suite à une seule authentification, n’a pas pris toutes les précautions pour préserver la sécurité des données. En effet, un individu, dès lors qu’il a trouvé le mot de passe, et ce même après de nombreuses tentatives, peut avoir accès à l’ensemble des données à caractère personnel, notamment celles contenues dans la messagerie électronique, mais également aux coordonnées bancaires contenues dans le store, ainsi qu’aux informations liées au compte Microsoft.

Transfert illicite de données vers les Etats-Unis

Microsoft a indiqué, dans sa Déclaration de confidentialité, que les données recueillies peuvent être stockées et traitées aux Etats-Unis, conformément aux principes du « Safe Harbor » (« sphère de sécurité »). Or, depuis une décision du 6 octobre 2015 (5) de la Cour de justice de l’Union européenne, il n’est plus possible de procéder à un transfert de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor. En l’absence de base légale pour assurer un niveau de protection suffisant de la vie privée, des droits et libertés des personnes concernées, Microsoft procède donc à des transferts illicites de données hors de l’Union européenne.

A cet égard, il convient de relever qu’un nouveau dispositif, le Privacy Shield, est venu remplacer le Safe Harbor (6).

Quelles conséquences pour Microsoft ?

En raison de ces manquements, la Cnil a mis en demeure publiquement Microsoft de se conformer à la loi Informatique et libertés dans un délai de 3 mois. Cette mise en demeure publique se justifie par le nombre important de personnes concernées, la gravité des manquements et par la taille et le statut de l’organisme.

Il ne s’agit pour le moment que d’un avertissement, mais si Microsoft ne se conforme pas à la loi, elle pourrait être sanctionnée, comme cela a été le cas en Allemagne, où des amendes ont été prononcées à l’encontre de sociétés procédant à des transferts de données vers les Etats-Unis sur la base du Safe Harbor (7).

En attendant la mise en conformité de Microsoft, la Cnil a mis en ligne deux tutoriels permettant de régler manuellement les réglages de confidentialité afin de limiter la communication des informations de l’utilisateur à l’éditeur (8).

Céline Avignon
Anne Renard
Lexing Publicité et marketing électronique

(1) Loi 78-17 du 6-1-1978 ; Cnil, Décision 2016-058 du 30-6-2016 et Délibération 2016-185 du 12-7-2016 décidant de rendre publique la mise en demeure 2016-058 du 30-6-2016
(2) Loi 2014-344 du 17-3-2014 relative à la consommation, art. 105.
(3) Délibération 2013-378 du 5-12-2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs .
(4) Délibération 2013-420 du 3-1-2014 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
(5) CJUE, 6-10-2015, Aff. C-362/14, Maximillian Schrems c/ Data Protection Commissioner.
(6) Céline Avignon, Post du 13-7-2016.
(7) Chloé Torres, Post du 20-7-2016.
(8) Cnil, Article du 20-7-2016.




Loi Lemaire : succès de la Matinée juridique de l’Acsel

Loi Lemaire : la Grande Matinée Juridique de l’AcselC’est dans un auditorium de la Maison du Barreau comble que s’est déroulée la Grande Matinée Juridique de l’Acsel.

Le timing était parfait : alors que l’après-midi du 28 septembre 2016, le Sénat devait adopter définitivement le projet de loi pour une République numérique, le matin même, la commission juridique de l’Acsel (1) – le Hub de la transformation digitale – organisait en partenariat avec l’Ordre des avocats de Paris sa « Grande Matinée juridique de décryptage de la loi pour une République numérique ».

On le sait, cette loi, comme le fut en son temps la loi pour la confiance dans l’économie numérique, va marquer profondément le droit du numérique.

Grande matinée juridique Acsel Cyril ZimmermannLes trois sujets qui méritent une attention tout à fait particulière dans le texte portée devant le Parlement par Axelle Lemaire, Secrétaire d’État chargée du Numérique et de l’Innovation, avaient été retenus par la Commission juridique de l’Acsel, comme autant de thèmes des trois tables rondes de la matinée:

  • la création d’un véritable droit de l’open data ;
  • un renforcement du droit des plateformes ;
  • une révision du droit des données à caractère personnel.

L’occasion de donner la parole, après des propos introductifs de Cyril Zimmermann, Président de l’Acsel, aux experts, personnalités du monde politique et de l’entreprise pour en débattre.

Loi Lemaire et Open data

Tout le monde en parle mais c’est bien la loi Lemaire qui, pour la première fois en France, fixe le cadre juridique de l’open data (ouverture des données publiques).

Grande matinée juridique Acsel 1ère table rondeQu’est-ce que l’open data ? Faut-il distinguer les données brutes et les données enrichies ? Quels sont les nouveaux droits fixés par la loi ? Qu’en est-il des exceptions comme l’exception scientifique ?

Autant de questions abordées au sein de la première table ronde animée par Gérald Bigle, président de la Commission « Marchés émergents, audiovisuel et numérique » du Barreau de Paris (2), qui réunissait Luc Belot, Député du Maine-et-Loire, rapporteur de la Loi, Renaud Fabre, directeur de l’information scientifique et technique au CNRS, Mathieu Caps, Responsable des affaires publiques, Open Data Soft, et Pascale Vinot, Chef de projet Data tourisme, Tourisme et Territoires.

Loi Lemaire et droit des plateformes

Les plateformes cristallisent un nombre impressionnant de questions pour ne pas dire de crispations.

La loi fixe comme exigence un renforcement de certaines obligations comme la « loyauté » ou crée de nouvelles obligations comme la portabilité des données ou encore le droit des « avis en ligne ».

Grande matinée juridique Acsel 2e table rondeLà encore, de nombreuses questions se posent. Qu’est-ce qu’une plateforme ? Faut-il leur imposer des droits spécifiques au point de les stigmatiser ? Les plateformes bénéficient-elles ou non du cadre de responsabilité spécifique des hébergeurs ? Qu’est-ce que la neutralité ?

Cette table-ronde réunissait Laure de la Raudière, députée d’Eure-et-Loir, Olivier Mathiot, P.D-G de Price Minister, Franck Avignon, Legal counsel France, Airbnb, et Corinne Lejbowicz, P. D-G de Prestashop..

Loi Lemaire et données personnelles

La loi comporte un certain nombre de dispositions nouvelles sur le droit des données personnelles mais aussi les pouvoirs de la Cnil. Elle anticipe sur certains aspects le Règlement européen sur les données personnelles.

Grande matinée juridique Acsel 3e table ronde

La troisième table ronde était présidée par Nicolas Herbreteau, directeur des relations institutionnelles d’Endered. Son objectif était est de brosser un tour d’horizon des nouvelles obligations issues non seulement de la loi Lemaire mais également d’aborder les incidences du règlement européen sur les données à caractère personnel et la mort du Safe Harbor remplacé par le Privacy Shield.

Participaient à cette réunion Hélène Legras, Correspondant informatique et libertés/Data Protection Officer des sociétés du groupe Areva auprès de la Cnil – Vice-Présidente de l’ADPO ; Marc Mossé, Directeur Affaires juridiques et affaires publiques, Microsoft, Vice-Président de l’AFJE ; Edouard Geffray, Secrétaire général de la Cnil ; Amal Taleb, Vice-Présidente du Conseil National du Numérique.

A l’issue de cette matinée, on apprenait que le Sénat avait voté définitivement le texte de loi (3).

Eric Bonnet
Directeur du département Communication juridique

(1) Acsel, Communiqué sur la Grande Matinée Juridique du 28-9-2016.
(2) Barreau de Paris, présentation de la « Commission Marchés émergents, audiovisuel et droit du numérique ».
(3) Sénat, Texte n°185 du 28-9-2016, Petite loi. Voir également le Post du 29-9-2016 et le Post du 30-9-2016




Juristendances « Informatique et libertés » n° 71 – 2016

Juristendances Informatique et libertés n° 70-2016Parmi les actualités à retenir en cette rentrée dans la Lettre Juristendances Informatique et libertés figurent  notamment :

ARTICLES :

OUTILS ET NOUVEAUTES :

PETITS-DEJEUNERS :

FORMATIONS :

Pour recevoir nos Lettres Juristendances : inscription en ligne.

Lettre Juristendances Informatique et libertés n°71, Sept.-Oct. 2016.




Accountability et règlement sur la protection des données

Accountability et règlement sur la protection des donnéesL’accountability est un processus de mise en conformité d’une entreprise à la réglementation Informatique et libertés.

Grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques correspondantes (1), le responsable du traitement peut s’acquitter de son obligation de rendre des comptes.

L’accountability consiste également en un mécanisme permettant de démontrer l’efficacité des mesures prises et l’effectivité de la protection des données.

Accountability : les acteurs concernés

Le règlement sur la protection des données (RGPD) impose au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation Informatique et libertés (2).

Accountability : la mise en œuvre

Principe. L’obligation d’accountability implique pour le responsable du traitement :

  • de prendre des mesures efficaces et appropriées afin de se conformer au règlement européen ;
  • d’apporter la preuve, sur demande de l’autorité de contrôle, que les mesures appropriées ont été prises.

Mise en pratique. Certaines mesures sont décrites dans le règlement général sur la protection des données (3)à savoir notamment :

  • l’adoption de règles internes ;
  • l’obligation de conserver une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant ;
  • la réalisation d’une analyse d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées ;
  • l’adoption de l’approche « Privacy by design » ;
  • la désignation d’un délégué à la protection des données.

L’accountability passe également par un renforcement des pouvoirs de sanction de l’autorité de contrôle.

Synthèse. L’ensemble des obligations découlant du concept d’accountability qui devront être mis en œuvre par les entreprises et organismes publics peuvent se schématiser comme suit :

Schéma accountability

Chloé Torres
Lexing Informatique et libertés

(1) Chloé Torres, Post du 24-10-2012.
(2) Règlement (UE) 2016/679 du 27-4-2016, art.24
(3) Règlement (UE) 2016/679 du 27-4-2016, art.24