La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés

En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.

Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.

Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.

Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.

Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.

Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.

Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?

Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.

Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?

Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.

Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :

  • l’exécution du contrat de travail
  • ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.

Troisièmementet c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.

Quatrièmementet c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.

Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.

Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.

Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).

Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.

C’est-à-dire lorsque que :

  • la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
  • que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].

Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].

CAS PARTICULIERS

Certains usages sont invalidés par la CNIL.

L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).

Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.

Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).

Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)

[1] le 11 février 2002

[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

[3] Au sens de l’article 6 du RGPD

[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.

[5] Article 35 du RGPD

[6] Article 22 du RGPD

[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448

Lire la suite

cookies

Un petit rappel s’impose. Par délibération du 4 juillet 2019, la CNIL avait adopté des lignes directrices relatives à la conformité de l’écriture et de la lecture des cookies et autres traceurs installés dans le terminal d’un utilisateur au regard de l’article 82 de la Loi Informatique et Libertés, en insistant sur la nécessité, sauf exception, d’obtenir un consentement libre, spécifique, éclairé et univoque se manifestant par une déclaration ou par un acte positif clair avant l’écriture ou la lecture de traceurs et en rappelant la position du CEPD en ce sens. La CNIL rappelait notamment l’interdiction, par le CEPD, du « cookie wall »[1]. Les conclusions du CEPD, dont la position a été rappelée par la CNIL, au sujet du « cookie wall » étaient assez radicales « Pour que le consentement puisse être librement accordé conformément au RGPD, l’accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement de l’utilisateur au traitement de ses données à caractère personnel ou d’informations relatives à son équipement terminal ou traitées par celui-ci. En d’autres termes, les « cookies walls » devraient être explicitement interdits ».

 

Le 19 juin 2020, statuant sur un recours exercé par les principaux groupements agissant dans les secteurs du e-commerce et de la vente à distance, de l’édition de contenus et services en ligne, du marketing digital, de la régie internet et de l’achat d’espace, ainsi que l’union des marques, le Conseil d’Etat a annulé partiellement la délibération de la CNIL[2]. Le Conseil d’Etat censurait la décision de la CNIL en considérant qu’elle ne pouvait légalement interdire les « cookie walls »dans ses lignes directrices, à savoir dans un acte de « droit souple ».

 

La question de la possibilité de mettre en place un « cookie wall » a fait couler beaucoup d’encre. Mais c’est en réalité la nature et les limites du pouvoir normatif de la CNIL qui était en jeu.

 

Les interprétations multiples de la décision du Conseil d’Etat

 

La CNIL insiste sur le fait que « le Conseil d’État a validé pour l’essentiel les lignes directrices »[3]. Le GESTE [4] fait valoir, quant à lui, que « Le Conseil d’État reconnaît ainsi aux médias la liberté de choisir leur business model sans que cela soit au détriment de la protection des données à caractère personnel »[5]. L’Association Française des Correspondants à la protection des Données à caractère Personnel constate que selon le Conseil d’Etat « … la CNIL a outrepassé ses pouvoirs en proclamant une interdiction générale et absolue de la pratique des « cookies walls »…», tout en laissant ensuite la porte ouverte à la possibilité d’un « cookies-or-pay-wall » [6].

 

Rappelons que si la notion de cookie est étrangère au RGPD, qui se borne à définir celui-ci très rapidement et de manière très superficielle le cookie dans son considérant 30, la nouvelle définition du consentement[7] conduit notamment à une présomption d’absence de consentement en cas de couplage, qui peut toutefois être renversée[8].

 

Dans son interprétation de l’article 7, paragraphe 4 du RGPD, éclairé par le considérant 43, le CEPD semble hésiter entre la possibilité d’une validité – fût-elle exceptionnelle – du « cookie wall »  et l’impossibilité absolue d’une telle validité.

 

Après avoir appelé à « bannir » la pratique du « cookie wall », l’AFCDP considère néanmoins qu’il existe des cas « où une offre payante peut être proposée en cas de refus des traceurs », semblant ouvrir la voie au modèle du « cookie-or-pay wall ». Il est exact que « le « troc 2.0 » est « expressément admis par la directive 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (considérant 24[9] et articles 2 et 3[10]) ».

 

Le « cookie wall » dans les nouvelles lignes directrices de la CNIL

 

Dans ses nouvelles lignes directrices du 17 septembre 2020[11], la CNIL tempère sa position antérieure, en retenant que la pratique dite de « cookie wall » « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement », en précisant ensuite qu’«en cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

 

Le « cookie wall » dans la recommandation de la CNIL du 17 septembre 2020

 

Dans sa recommandation du 17 septembre 2020[12], la CNIL, ne souhaitant probablement valider telle ou telle technique de « cookie wall », avec ou sans paiement, à éludé cette question. Il a appartient donc aux opérateurs de déterminer les modalités de la mise en place du « cookie wall » en indiquant clairement les conséquences des choix opérés et… en prenant un risque juridique dès lors que la validité du dispositif sera appréciée « au cas par cas » par la CNIL…

 

Pascal ALIX, avocat au barreau de Paris, DPO externe, Lead auditor (certification EUROPRIVACY)

[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

[2] https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion

[3] https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil

[4] Groupement d’éditeurs de contenus et de services

[5] https://www.geste.fr/les-professionnels-de-la-publicite-en-ligne-et-des-medias-saluent-la-decision-du-conseil-detat/

[6] AFCDP, Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall », GlobalSecurityMag, juillet 2020 : https://www.globalsecuritymag.fr/Les-DPD-DPO-de-l-AFCDP-mettent-en,20200702,100281.html

[7] Considérants 42 et 43, art. 4. 11), 7. 4) du RGPD

[8] Lignes directrices WP259 du G29 sur le consentement au sens du règlement 2016/679, adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018, p. 10

En tout état de cause, la charge de la preuve repose sur le responsable du traitement en vertu de l’article 7, paragraphe 4 »

[9] «… La présente directive devrait dès lors s’appliquer aux contrats par lesquels le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur fournit ou s’engage à fournir des données à caractère personnel… »

[10] « …La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel… »

[11] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

[12] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Le 9 novembre 2018, le Conseil de l’Union Européenne a approuvé le texte du règlement sur la libre circulation des données non-personnelles[1], destiné non plus à protéger les droits des personnes physiques dans le cadre du traitement de leurs données à caractère personnel, mais à éliminera les obstacles à la libre circulation des données à caractère non personnel dans l’UE. Un accord provisoire avait été conclu le 19 juin 2018 entre le Conseil de l’UE, la Commission et le Parlement Européen[2] sur la base du texte adopté le 4 octobre 2018 au Parlement de Strasbourg[3]. Selon la revue « Clubic »[4], cette nouvelle réglementation « boosterait considérablement l’économie numérique sur le marché mondial et la croissance de la zone (à hauteur de 4 % du PIB d’ici 2020) ».

 

Objectifs

Selon Andrus Ansip, vice-président chargé du marché unique numérique : «Les restrictions liées à la localisation des données sont des signes de protectionnisme […]. Nous avons franchi une nouvelle étape grâce à cet accord pour la libre circulation des données à caractère non personnel afin de promouvoir les innovations technologiques et de nouveaux modèles économiques et de créer un espace européen pour tous les types de données.».

L’idée est d’ouvrir la voie à un véritable marché unique européen du stockage et du traitement des données et, partant, à un secteur européen des services en nuage compétitif, sûr et fiable.

Selon le Parlement européen, « le développement rapide de l’économie des données et des technologies émergentes telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l’accès aux données et à leur réutilisation, à la responsabilité, à l’éthique et à la solidarité. Des travaux devraient être envisagés sur la question de la responsabilité, notamment par la mise en œuvre de codes de conduite par autorégulation et d’autres bonnes pratiques, en tenant compte des recommandations, des décisions et des mesures prises sans interaction humaine tout au long de la chaîne de valeur du traitement des données. Ces travaux pourraient également porter sur des mécanismes appropriés visant à déterminer les responsabilités et à transférer les responsabilités entre services coopérant, les assurances et les audits. »[5].

Selon le Conseil d’UE, cette nouvelle règlementation européenne est destinée à « dynamiser l’économie des données et le développement de technologies émergentes telles que les systèmes autonomes transfrontières et l’intelligence artificielle. ». Le but est de créer un espace européen unique (« marché numérique unique ») des données au sein duquel des données de plus en plus nombreuses pourront circuler sans entrave.

La libre-circulation des données non personnelles dans l’UE. Une mesure qualifiée de « cinquième liberté », après les personnes, les biens, les services et les capitaux[6].

Les données concernées sont les données statistiques, les données relatives aux personnes morales, les données anonymisées, ainsi que l’ensemble des autres données qui ne répondent pas à la définition de la donnée à caractère personnel[7][8][9].

 

Les nouvelles règles sur la libre circulation des données à caractère non personnel

La nouvelle réglementation reposera sur les principes suivants :

  1. Assurer la libre circulation des données à travers les frontières

La libre circulation des données à travers les frontières supposera l’interdiction des restrictions liées à leur localisation. En clair, cela signifie l’interdiction pour les États d’imposer le stockage ou le traitement des données non personnelles sur leur sol, à moins qu’elles ne concernent la sécurité publique[10].

Selon la rapporteure suédoise Anna Maria Corazza Bildt (PPE), « Cette législation change vraiment la donne, en offrant à la fois aux entreprises et aux autorités publiques des gains potentiels énormes en termes d’efficacité. Cela réduira le protectionnisme en matière de données, qui menace l’économie numérique, et ouvrira la voie à l’intelligence artificielle, à l’informatique en nuage et à l’analyse des mégadonnées »[11].

Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public (traitements souverains). Le #RGPD et le #RDNP devront « fonctionner ensemble » pour permettre à la fois la protection des données à caractère personnel et la libre circulation de toutes les données, à caractère personnel et à caractère non personnel.

En cas de jeux de « données composites » (par ex. jeux de données comprenant à la fois (1) des données inférées ou dérivées constituant des données à caractère personnel et (2) des données statistiques ou des données d’exploitation non identifiantes), la disposition du RGPD garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu[12].

 

  1. Assurer la disponibilité des données à des fins de contrôle réglementaire

Les pouvoirs publics doivent pouvoir avoir accès aux données à des fins de contrôle et de surveillance quel que soit l’endroit où elles sont stockées ou traitées dans l’UE, sous peine de sanction en cas d’entrave [13]. Cet aspect de la nouvelle réglementation est probablement un de ceux qui sera examiné de près par les acteurs du Cloud ainsi que par les acteurs de la protection des données à caractère personnel.

Le projet de #RDNP prévoit que les « autorités compétente » peuvent, après avoir vainement demandé l’accès aux donnés d’un utilisateur et faute d’accord de coopération spécifique, « solliciter l’assistance de l’autorité compétente dans un autre État membre, conformément à la procédure prévue à l’article 7[14] ».

Rappelons qu’EUROPOL s’inquiétait des conséquences des nouvelles règles sur la protection des données en ce qu’elles peuvent parfois « compliquer l’accès des bases de données listant les propriétaires des sites internet lors des enquêtes policières »[15]. Comme dans d’autres domaines, il sera parfois nécessaire d’arbitrer entre liberté et sécurité.

 

  1. Encourager l’instauration de codes de conduite de l’UE pour les services en nuage (Cloud)

Il s’agit de lever les obstacles au changement de fournisseur de services de stockage en nuage et à la portabilité de l’ensemble des données numériques – et pas seulement des données à caractère personnelle – pour leur rapatriement sur les systèmes informatiques internes des utilisateurs ou vers d’autres systèmes informatiques.

Le projet de règlement prévoit qu’au plus tard le … [48 mois à partir de la date de publication du présent règlement [16]], la Commission soumet un rapport au Parlement européen, au Conseil et au Comité économique et social européen, notamment sur « l’élaboration et la mise en œuvre effective des codes de conduite, ainsi que la fourniture effective d’informations par les fournisseurs de services ».

Le projet de #RDNP prévoit, comme le #RGPD, des « sanctions effectives, proportionnées et dissuasives en cas de manquement à l’obligation de fournir des données, conformément au droit de l’Union et au droit national »[17]

Le projet de #RDNP prévoit, comme le #RGPD, une période transitoire de 24 mois pendant laquelle les organismes doivent se mettre en conformité[18].

Pascal ALIX, Avocat à la Cour et Délégué à la Protection des Données

 

[1] http://data.consilium.europa.eu/doc/document/PE-53-2018-INIT/en/pdf

[2] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[3] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[4] « l’Union européenne crée un « Schengen » de la donnée » https://www.clubic.com/pro/it-business/securite-et-donnees/actualite-844266-libre-circulation-union-europeenne-cree-schengen-donnee.html

[5] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[6] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[7] Article 3 1) du projet de règlement : « «données», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679 »

[8] Article 4 1) du RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social

[9] par exemple « les lots de données agrégées et anonymisées utilisés pour le big data et l’analyse, les données sur l’agriculture de précision qui peuvent aider à surveiller et optimiser l’utilisation de pesticide et d’eau, ou les données sur les besoins de maintenance de machines industrielles » (https://www.nextinpact.com/brief/l-ue-s-apprete-a-signer-le-reglement-sur-la-libre-circulation-des-donnees-6523.htm).

[10] Le lobby « Cispe Cloud », représentant les acteurs du cloud (dont Amazon, OVH, Hetzner ou encore Ikoula) se félicite de cette adoption.

[11] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[12] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[13] Considérant 24 du projet de Règlement : « le présent règlement devrait clairement préciser qu’il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d’obtenir l’accès à des données conformément au droit de l’Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l’accès aux données au motif que les données sont traitées dans un autre État membre. ».

[14] Article 5 2.

[15] https://www.euractiv.fr/section/economie/news/privacy-regulators-in-hotseat-over-future-of-fundamental-website-owners-list/

[16] Projet actuel

[17] Article 5 4.

[18] Par ex. article 4

Lire la suite

Le règlement général sur la protection des données (RGPD) considère l’enfant comme une personne concernée particulièrement vulnérable[1], méritant une protection spécifique[2] du fait de son incapacité à comprendre les risques qu’entraine un traitement de ses données personnelles.

Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans.  Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.

Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.

Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?

Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.

Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?

Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.

Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.

En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.

Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.

Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].

Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].

Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.

La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.

L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.

Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

[1] Considérant 75.

[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».

[3] Article 8 du RGPD.

[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL

[5] Article 7-1 de la LIL modifiée.

[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD

[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).

[8] Article 4.1 du RGPD.

[9] Le Considérant 58 reprend cette même idée.

[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.

[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)

[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;

3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »

[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.

L’article 35.4 du RGPD prévoit que « l’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ». Cette liste établie par la CNIL a été publiée le 6 novembre 2018 au journal officiel[1].

Les traitements concernés sont les suivants :

– certains traitements recourant à des données de santé (traitements par les établissements de santé ou médico sociaux pour la prise en charge des personnes, traitements portant sur les données génétiques de personnes vulnérables, traitements permettant la constitution d’un entrepôt de données ou d’un registre, traitement de données biométriques pour la reconnaissance de personnes incluant des personnes vulnérables). Dans le domaine du médico-social, sont également concernés les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes et les traitements ayant pour finalité la gestion de l’alerte et le signalement dans le domaine social et sanitaire ;

– des traitements dans le domaine de la gestion des ressources humaines (profils et surveillance constante de l’activité des employés) et des relations professionnelles (traitements ayant pour finalité la gestion de l’alerte et le signalement en matière professionnelle) ;

– certains traitements en lien avec le logement (instruction des demandes et gestion des logements sociaux) ;

– certains traitements mettant en œuvre un profilage (profilage faisant appel à des données de sources externes, profilage pouvant aboutir à l’exclusion du bénéfice d’un contrat, à sa suspension ou à sa rupture) ;

– les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;

– les traitements de données de localisation à large échelle.

Sur son site internet, la CNIL met à disposition cette liste accompagnée d’exemples concrets[2], utile pour les responsables de traitement.

Suite aux préconisations du CEPD[3], la CNIL a précisé que cette liste n’était pas exhaustivedes traitements n’y figurant pas pouvant néanmoins nécessiter la réalisation d’un PIA.

Par ailleurs, la CNIL rappelle dans ses dernières lignes directrices[4] que les traitements réunissant deux des neuf critères établis par le G29[5] doivent également faire l’objet d’un PIA (demande d’ajout du CEPD). La CNIL précise que cette liste sera revue régulièrement « selon son appréciation des « risques élevés » que peuvent présenter certains traitements ».

Le CEPD a indiqué que les traitements comprenant des données biométriques ou génétiques ne présentaient pas systématiquement un risque élevé et qu’un autre critère du G29 devait être présent pour imposer un PIA.

Ont également été intégrés à la liste initiale sur avis du CEPD, les traitements utilisant les données de localisation (si deux des critères du G29 sont remplis) et les traitements impliquant la surveillance systématique des salariés (si deux des critères du G29 sont remplis).

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

 

[1] Délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise

[2] https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

[3] Opinion9/2018 on the draft list of the competent supervisory authority of France regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), Adopted on 25th September2018

[4] Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

[5] WP 248rév.01,17/FR, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017 et modifiée le 4 octobre 2017

Lire la suite

Une nouvelle délibération[1] de la CNIL permet de souligner l’importance de veiller à la sécurité des données lorsque l’on en confie le traitement, totalement ou partiellement, à un sous-traitant.

La société sanctionnée, Darty, utilisait un logiciel développé par la société EPTICA pour sa gestion des demandes de service après-vente. Informée par un éditeur de site internet spécialisé dans la sécurité des systèmes d’information d’une violation de données à caractère personnel, la CNIL a réalisé un contrôle en ligne le 2 mars 2017, puis un contrôle sur place le 15 mars 2017. Elle a pu observer à cette occasion que l’URL à partir de laquelle les clients peuvent déposer leur demande de service après-vente permettait d’accéder très facilement à 912 938 fiches, en modifiant simplement le numéro d’identifiant présent dans l’URL. Les données accessibles sur ces fiches sont les noms, prénoms, adresse postale et électronique ainsi que les commandes effectuées.

Cette délibération permet de faire un rappel de la différence entre responsable de traitement et sous-traitant et de mettre une nouvelle fois en lumière l’importance pour le responsable de traitement de veiller scrupuleusement sur les traitements confiés au sous-traitant.

I- Définition du responsable de traitement

Est responsable de traitement, selon l’article 3 de la loi Informatique et Libertés modifiée, « (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Darty a fait valoir qu’elle n’avait jamais demandé la création de l’URL viciée à son sous-traitant. Ce développement n’apparaît d’ailleurs pas dans le cahier des charges de la mission confiée au sous-traitant. Darty indiquait de plus ne jamais utiliser cette URL car elle disposait de son propre formulaire de collecte sur son site internet.

Ainsi, pour Darty, c’était le sous-traitant seul qui avait déterminé les moyens du traitement, en créant cette URL ainsi que tout le contenu du formulaire de collecte qui n’était pas personnalisable par Darty. Partant, le sous-traitant devrait être considéré, pour Darty, comme responsable de traitement.

La CNIL n’a pas suivi ce raisonnement. En effet, Darty et son sous-traitant s’étaient mis d’accord sur des moyens de traitement même si la création de l’URL mise en cause n’en faisait pas partie. Le seul fait qu’EPITCA ait ajouté un moyen de traitement non défini au contrat n’est pas un caractère suffisant pour considérer cette société comme responsable de traitement. Par son développement sur l’identification du responsable de traitement, la CNIL montre surtout qu’entre la détermination des finalités et des moyens, la détermination des finalités est décisive dans la qualification du responsable de traitement.

Or, concernant la détermination des finalités, le rôle de Darty est très clair. Quels que soient les moyens de traitement utilisés, ils se rattachent tous à un seul et même traitement, celui des données à caractère personnel des clients de Darty et avec une seule finalité, le suivi des demandes de service après-vente adressées à Darty. Le sous-traitant ne pourrait être lui-même responsable de traitement ou coresponsable que s’il traitait les données pour son compte ou pour d’autres finalités que celles définies par la société Darty. Mais ceci n’est pas le cas en l’espèce.

Pour la CNIL, Darty agit donc bien en tant que responsable de traitement. L’ajout d’un moyen de traitement sans que Darty ne l’ait demandé n’est pas suffisant pour inverser les rôles. Darty est donc tenue au respect des articles 34 et 35 de la loi de janvier 1978 modifiée, et donc d’assurer la sécurité des données dont le traitement est confié au sous-traitant.

II – Le responsable de traitement a violé l’obligation de sécurité prévue par les articles 34 et 35 de la loi du 6 janvier 1978 modifiée

Darty étant responsable de traitement, il lui revient d’assurer la sécurité des données personnelles qu’elle traite ou dont elle confie le traitement.

La violation des données personnelles étant liée à un développement non demandé au sous-traitant,  la question se posait de savoir si la responsabilité de Darty pouvait être engagée. La jurisprudence est néanmoins très claire sur ce point : « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte »[2]. Quand bien même certains développements n’avaient pas été demandés par Darty, cette dernière, en tant que responsable de traitement, devait vérifier que l’ensemble des développements réalisés par le sous-traitant permettait d’assurer la sécurité des données comme l’y oblige l’article 35 de loi du 6 janvier 1978 modifiée. Et si certains modules étaient considérés comme inutiles, Darty aurait dû les faire désactiver.

La CNIL relève par ailleurs que Darty a choisi un logiciel standard pour son besoin relatif au service après-vente. Or, la CNIL rappelle que lorsqu’un responsable de traitement a recours à un logiciel standard, il lui revient d’en vérifier la sécurité et les caractéristiques. Le défaut de sécurité en l’espèce étant facilement détectable, la CNIL considère que Darty n’a pas respecté cette obligation. La CNIL en profite pour rappeler à tous les responsables de traitement qui liront la délibération, que la bonne pratique en matière de sécurité est de vérifier « de façon régulière » les formulaires accessibles et permettant la collecte de données personnelles. La CNIL rappelle également une autre bonne pratique, qui revient à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». On peut relever que la CNIL ne s’arrête pas aux modules non utilisés mais va plus loin avec les modules qui ne seraient pas nécessaires. Ce faisant, la CNIL intègre le privacy by default, principe qui devient obligatoire le 25 mai 2018 avec l’entrée en application du RGPD et qui oblige les responsables de traitement à créer ou utiliser des outils de traitements qui ne réalisent par défaut que des traitements de données nécessaires et qui garantissant le plus haut niveau de protection. En laissant le module alors qu’il n’était pas nécessaire, en plus de violer l’article 34 sur la sécurité, Darty n’a pas respecté le privacy by default.

Enfin, la CNIL considère que Darty n’a pas veillé suffisamment à ce que, une fois signalée, la faille soit réparée au plus tôt. Darty a été informée de la violation par la CNIL le 6 mars. Elle a informé son prestataire le jour même. Mais la réparation n’a été effective que le 15 mars, à l’issue du second contrôle de la CNIL. Ce délai de 9 jours est trop long pour la CNIL. Darty aurait dû réaliser un suivi régulier de la résolution du litige alors qu’elle ne s’est tenue informée qu’une seule fois pendant ce délai de neuf jours. On comprend de la délibération que le suivi régulier, au regard de la faille, aurait dû être un suivi quotidien.

Mais malgré ce délai de réparation trop long, la CNIL relève que Darty a réagi rapidement en informant son sous-traitant le jour même et que la violation a cessé « dans un délai raisonnable ». Par ailleurs, la CNIL voit d’un bon œil l’audit que Darty a réalisé en août 2017 sur le nouvel outil de gestion. La mise en œuvre de cette bonne pratique tend en effet à montrer que Darty a bien intégré ce qui a pu lui être reproché.

La CNIL condamne donc Darty, en tenant compte de l’ensemble des circonstances, à une amende « proportionnée » d’un montant de 100 000 euros. Elle a par ailleurs souhaité la publication de sa décision « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».

Au regard de cette décision deux points semblent pouvoir être soulignés. La rigueur de la CNIL tout d’abord dans le contrôle de la relation responsable de traitement/sous-traitant. Le responsable de traitement aura bien du mal à se protéger derrière l’action d’un sous-traitant dès lors que les finalités du traitement concerné par la violation sont des finalités gérées pour le compte du responsable. Même si le sous-traitant n’a pas respecté le cahier des charges, le responsable de traitement est mis en cause car il lui revient de veiller à l’ensemble des mesures mises en place par le sous-traitant pour son compte. On ne saurait donc trop conseiller à tout responsable de traitement de prévoir au sein des contrats les liant avec leurs sous-traitants une clause d’audit permettant de s’assurer que la sécurité des données est respectée. Avec le RGPD, si la responsabilité du sous-traitant pourra plus facilement être engagée, cela ne dédouanera pas nécessairement le responsable de traitement qui pourra se voir infliger une sanction bien supérieure à 100 000 euros.

Le second point à souligner concerne justement le montant de la sanction. Après Hertz condamné à 40 000 euros cet été, également pour une faute d’un sous-traitant, les 100 000 euros de condamnation de Darty apparaissent comme une mise en garde pour les responsables de traitement. Alors que Darty a réagi dans un délai inférieur à 10 jours, que les données objet de la violation n’étaient pas des données sensibles, et que la CNIL souligne la bonne collaboration de Darty, elle inflige néanmoins une amende somme toute assez élevée, proche de l’ancien montant maximum de 150 000 euros (mais éloigné du montant maximum actuel qui est de 3 millions d’euros). Tout comme la publication de la décision permet de sensibiliser les personnes concernées, ce montant est un avertissement pour les responsables de traitement. La CNIL n’hésitera pas, progressivement, à sanctionner de plus en plus fortement une violation de données. Pour mémoire, à compter du 25 mai 2018, l’amende pourra atteindre, selon les cas, 10 ou 20 millions d’euros, 2% ou 4% du chiffre d’affaires annuel.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] CE, 11 mars 2015, Sté Total raffinage marketing et société X.

[2] Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société Etablissements Darty et Fils

Lire la suite

Par une délibération en date du 19 juillet 2017[1], la CNIL a sanctionné la société Hertz au paiement d’une amende de 40 000 € pour violation de données personnelles. Cette décision mérite une attention particulière car elle permet de souligner l’importance de bien encadrer juridiquement la relation avec les sous-traitants auxquels l’on confie la gestion de traitements de données personnelles.

Les faits

La société Hertz France a créé en 2011 un programme permettant de proposer des réductions sur les locations de véhicules. Ce programme passait par la réalisation d’un site internet, www.cartereduction-hertz.com (ci-après le « Site »), confiée à un éditeur externe, sous-traitant de Hertz.

Le 15 octobre 2016, le site www.zataz.com informe la CNIL de l’existence d’une faille de sécurité sur le Site. Cette faille permettrait de donner accès aux données personnelles de pas moins de 40 000 clients de la société Hertz France. La CNIL opère alors un contrôle en ligne le jour même, et accède aux données de 35 327 personnes. Ces données étaient notamment les nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire. Informée par la CNIL de cette faille, la société Hertz a pris contact avec son sous-traitant qui a mis en place les correctifs. Le sous-traitant a expliqué à la CNIL que la faille était due à la suppression involontaire d’une ligne de code au moment du remplacement de l’un des serveurs assurant l’interface avec le prestataire en charge des paiements. La CNIL, s’étant rendue chez la société Hertz le 28 octobre 2016, a pu constater que la violation des données avait cessé.

Un contrôle chez le sous-traitant en novembre 2016 permet à ce dernier de préciser qu’il avait mis en place les correctifs quelques heures seulement après avoir été informé par Hertz. Par ailleurs, une analyse des journaux d’accès du serveur a permis de constater l’absence de téléchargement massif des données.

Responsabilité de Hertz

La CNIL rappelle l’article 34 de loi Informatique et Libertés selon lequel « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Hertz, qui a évidemment pu présenter ses arguments, a fait valoir la rapidité de sa réaction lorsqu’elle a été informée de la violation, et de la rapidité de son sous-traitant qui a installé les correctifs moins de quatre heures après le signalement de la CNIL. De surcroit, aucune fuite massive de données n’a été constatée, et aucun client ayant un compte sur le Site ne s’est plaint d’une divulgation de ses données. Enfin, la société Hertz précise que le contrat qui la liait à son sous-traitant contenait une « clause spécifique à la protection des données à caractère personnel ». La violation serait donc de la responsabilité du sous-traitant et non de la société Hertz.

Pour autant, la CNIL considère qu’il y a bien, en l’espèce, une responsabilité de la société Hertz qui a failli dans la surveillance des activités de son sous-traitant.

En premier lieu, lors de la création du site, la CNIL relève que la société Hertz n’avait imposé aucun cahier des charges à son sous-traitant. Ce cahier des charges aurait pu permettre de préciser notamment les développements relatifs à la sécurité des données.

En second lieu, la CNIL considère que la société Hertz aurait dû contrôler l’opération de modification des serveurs qui a été la cause de la suppression d’une partie du code. Etant donné que ces serveurs étaient ceux permettant de communiquer avec le prestataire de paiement, l’opération était sensible et Hertz aurait dû s’assurer que la mise en production du site avait été précédée d’un protocole complet de test permettant de garantir l’absence de vulnérabilité.

Ces différents points justifient pour la CNIL la responsabilité de la société Hertz.

Cette analyse est particulièrement intéressante car permet de mettre en exergue l’importance pour un responsable du traitement de rester en contact continu avec son sous-traitant et de superviser les opérations sensibles qu’il réalise pour son compte. Une simple clause dans un contrat ne peut suffire pour se dégager de toute responsabilité, même si elle peut permettre dans un second temps de mettre en jeu la responsabilité contractuelle du sous-traitant. En revanche, le contrat doit prévoir des possibilités pour le responsable du traitement de contrôler les opérations menées par son sous-traitant, doit imposer des mesures de sécurité et rendre possible la réalisation d’audits.

Sanction et publicité

La CNIL, bien que caractérisant la responsabilité de Hertz, souligne la rapidité de la réaction du responsable du traitement et du sous-traitant, le fait qu’il n’y ait pas eu d’extraction massive des données et que Hertz ait collaboré avec la CNIL. Elle lui inflige malgré tout une amende de 40 000 euros.

De plus, la CNIL décide de rendre publique cette délibération. La justification de cette publicité est intéressante la CNIL prenant en considération « le contexte actuel dans lequel se multiplient les incidents de sécurité ». On retrouve ici la volonté de la CNIL de faire de la pédagogie, mais cette fois-ci par l’exemple, en montrant que ce type de négligence ne restera pas impuni. A noter aussi que c’est la première fois que la CNIL prononce une sanction pécuniaire pour une violation de données. Ceci lui est permis depuis novembre 2016 grâce à la loi sur une République numérique, alors qu’auparavant seul un avertissement aurait pu être décidé dans un tel cas comme le précise la CNIL sur son site internet.

Cette délibération montre donc que la CNIL souhaite utiliser les nouvelles prérogatives dont elle dispose et veut faire savoir qu’elle n’hésitera pas à sanctionner. Cette délibération sonne ainsi comme un sérieux avertissement, quand on sait qu’à compter de mai 2018, les sanctions pourront aller jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaires mondiales.

***

Hertz est sanctionné pour violation de l’article 34 de la loi Informatique et Libertés pour ne pas avoir suffisamment encadré le travail réalisé par un sous-traitant cette insuffisance ayant mené à une violation de données personnelles.

Le RGPD qui entre en vigueur dans moins d’un an impose, à son article 28, des obligations précises lorsqu’un responsable de traitement noue une relation avec un sous-traitant. La première d’entre elles est de veiller à ce que ce sous-traitant présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Par ailleurs, le Règlement encadre les contrats passés par un responsable avec son sous-traitant. Ces contrats devront notamment préciser la finalité des traitements, leur nature, la durée de conservation, encadrer les actions réalisés par les sous-traitants en précisant une obligation de collaboration avec le responsable ainsi qu’une obligation d’information en cas de faille.

Un vrai travail de réécriture des contrats et de contrôle des procédures des sous-traitants est donc à mener sans tarder par tout responsable de traitement.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] Délibération n°SAN-2017-010 du 18 juillet 2017.

Lire la suite

En application du principe d’accountability, le responsable de traitement, tout comme les sous-traitants, doivent pouvoir prouver à tout moment le respect des principes édictés par le RGPD.

L’article 30 du RGPD prévoit la mise en place d’un registre des traitements, qui remplace, pour faire simple, les anciennes obligations déclaratives. Le 14 juin 2017, la Commission de Protection de la Vie Privée (CPVP), équivalent de la CNIL en Belgique, a publié une recommandation[1] apportant des éléments de précisions sur cette obligation.

Quels organismes sont tenus d’avoir un registre des traitements de données ?

L’article 30 impose la mise en place d’un registre tant par les responsables de traitement que par les sous-traitants. Ce même article crée une exception pour les entreprises ou organisations « comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Plusieurs éléments de cette exception nécessitent des clarifications, notamment sur la qualification du « risque » et sur la notion d’« occasionnel ».

Pour la première exception, la recommandation s’appuie sur les considérants du RGPD, et en particulier son considérant 75 qui explicite la notion de « risque pour les droits et libertés des personnes concernées » en dressant une liste de ces risques :

  • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important;
  • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel;
  • lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes;
  • lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels;
  • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Sur la notion d’ « occasionnel », la CPVP part du terme anglais « occasionnal » pour expliquer qu’il caractérise un traitement « qui est tel par occasion, par hasard, fortuit, par opposition à habituel ». Pas réellement décisive, cette explication est suivie d’exemples qui sont quant à eux plus illustratifs : « Ne sont par exemple pas des traitements occasionnels, les traitements de données liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs ».

Partant de cette liste d’exemples, qui reprend la plupart des traitements soumis aujourd’hui à des normes simplifiées, la prudence devrait finalement conduire tous les responsables de traitement ainsi que tous les sous-traitants à mettre en place un registre. C’est d’ailleurs à cette conclusion qu’aboutit la CPVP en invitant l’ensemble de ces acteurs à tenir un registre.

Le maintien temporaire de l’accès aux déclarations préalables

La CPVP rappelle que le registre est un outil de l’accountability comme cela a été précisé en introduction. Moyen de prouver que les obligations liées aux traitements des données sont respectées, il se substitue aux déclarations préalables encore en vigueur jusqu’au 25 mai 2018.

Pour autant, ces déclarations préalables contiennent un nombre important d’informations que les responsables de traitement peuvent être heureux de réutiliser pour compléter leur registre. La CPVP propose dès lors de maintenir ces déclarations accessibles jusqu’au 25 mai 2019, tout en alertant sur le fait que ces déclarations préalables ne concernent pas toutes les finalités. Ces précisions sont valables pour la France, les CIL ayant déjà pour habitude de se référer aux déclarations et autorisations pour compléter le registre. Elles resteront un outil précieux pour aiguiller les responsables et sous-traitants dans le respect de l’article 30 du RGPD.

Les informations devant apparaître dans le registre des RT et des ST

La Recommandation permet un rappel des informations listées à l’article 30 et devant apparaître dans le registre :

  • l’identité du responsable de traitement, de son représentant et du DPO. La CPVP précise que le fait de porter le nom du DPO sur le registre ne dispense pas de devoir l’indiquer à l’autorité compétente.
  • Les finalités de chacun des traitements, de façon précise et claire. Il est ici recommandé que, lorsque la finalité est assez générale, le rédacteur y apporte un descriptif plus précis.
  • Une description des catégories de personnes concernées par les données et un descriptif des données traitées. En ce qui concerne les personnes, il est recommandé de préciser l’âge des personnes concernées car le RGPD comprend des règles particulières pour les mineurs.
  • Les personnes à qui les données sont éventuellement transférées, que ce soit des transferts internes ou externes (sous-traitants,…).
  • Le lieu de transfert des données en particulier l’identification des pays tiers, les documents attestant de l’existence de garanties appropriées en l’absence de décision d’adéquation le cas échéant et ce pour chacune des finalités identifiées. La CPVP rappelle que l’hypothèse d’un transfert vers un pays tiers avec lequel il n’existe pas de décision d’adéquation obligeant à apporter des garanties appropriées est cependant « une disposition qui ne doit être utilisée comme fondement au transfert qu’à titre tout à fait exceptionnel ». Par ailleurs, les garanties qui entourent ces transferts doivent être « strictes », « prévues par exemple dans un contrat à répertorier dans le Registre ».
  • La durée de conservation. Pour ce point particulièrement délicat pour les responsables de traitement, l’autorité belge précise simplement que cette durée n’est pas nécessairement une durée en jours, mois ou année mais peut être l’arrivée d’un événement : durée de prescription, temps de réalisation d’une finalité ou de gestion du contentieux éventuel qui s’en suivrait, durée d’archivage imposée par la loi à l’issue du traitement, etc.
  • Enfin, le dernier point à préciser concerne la façon dont sont stockées les données et leur sécurisation. La CPVP rappelle que ce point concerne tant la sécurité technique qu’organisationnelle et renvoie à une recommandation antérieure sur les questions de sécurité.

Pour les sous-traitants, qui seront désormais soumis à l’obligation de tenir un registre, les informations devant y apparaître seront légèrement différentes. En effet, il faudra que l’identité du sous-traitant ou de son représentant soit mentionnée ainsi que celles de chacun des responsables de traitement pour lesquels il intervient. Les catégories de traitement, et donc les finalités de chacun de ces traitements seront précisées, le sous-traitant ayant pour obligation de respecter celle-ci. Les transferts de données et les mesures de sécurisation devront enfin elles-aussi être mentionnés.

La forme du registre

Sur ce point, la CPVP n’apporte pas d’éléments particuliers de réflexion, mais reprend ce que le RGPD impose. A savoir un registre sous forme informatique, dans un langage clair et précis afin de permettre à l’autorité de contrôle de comprendre les traitements et comment ils sont réalisés.

Pour l’autorité belge aucun canevas ou modèle ne s’impose, chaque responsable disposant d’une grande liberté dans la mise en œuvre de ce registre. Elle conseille néanmoins à chaque secteur d’activités de proposer aux acteurs de ce secteur un registre type correspondant aux exigences et traitements habituels du domaine d’activité. La CPVP elle-même n’exclue pas, à ce stade, de proposer un modèle de registre.

Lorsqu’une même entité est à la fois responsable de traitement et sous-traitant, ce qui représente la majorité des situations des sous-traitants, il semble préférable de prévoir deux volets distincts au sein du registre. Mais sur ce point encore, l’autorité ne souhaite pas imposer quoi que ce soit et veut laisser une grande liberté aux acteurs.

Enfin, en ce qui concerne les informations du registre une fois un traitement terminé, la CPVP conseille de le laisser visible sur le registre en précisant les dates de début et de fin. On retrouve ici la logique liée à l’accountability.

***

Grâce à cette recommandation, la CPVP offre un point précis de ce qui attend les responsables de traitement et les sous-traitants avec la tenue du registre. L’autorité belge intègre parfaitement la logique qui irrigue le RGPD : l’accountability. Elle précise ainsi que si le RGPD indique les données devant obligatoirement apparaître, chaque responsable de traitement demeure libre de mettre d’autres informations sur le registre en tenant compte en particulier des spécificités des secteurs d’intervention, mais aussi d’autres obligations imposées par le RGP : la mise en place d’un PIA, les pertes de données ou autres violations, mention de la base légale du traitement, etc.

Toujours en lien avec l’accountability, la CPVP rappelle que ce registre devra faire l’objet d’une mise à jour constante afin que, dès que l’autorité le demande, ce registre puisse lui être remis sans qu’aucun traitement ou information ne soient manquants.

Enfin, en guise de rappel là encore, cette recommandation souligne que l’obligation de tenue du registre n’est pas anodine puisqu’en cas de violation de l’article 30, l’entreprise peut se voir infliger une amende administrative pouvant aller jusqu’à 10 000 000 d’euros ou jusqu’à 2% du CA mondial.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

[1] Recommandation n°06/2017 du 14 juin 2017, relative au registre des activités de traitements (article 30 du RGPD).

Lire la suite

Bien des sites internet recueillent les adresses IP (adresses de protocoles Internet en français selon la terminologie de l’IANA) de leurs visiteurs pour des finalités plus ou moins définies et sans demander le consentement des personnes concernées.

Si l’on prend l’exemple de l’IPv4, la plus courante, celle-ci est constituée de 4 octets (nombre allant 0 à 255) séparés par des points, ayant une signification : les trois premiers identifiant le réseau (netID en anglais) et le quatrième, le numéro de l’ordinateur (hostID en anglais). Cette adresse identifie le dispositif connecté au réseau Internet. Mais si les adresses (IPv4) publiques, enregistrées et routables sur Internet, uniques au plan mondial sont visibles sur le réseau internet, les adresses privées ne sont visibles et utilisables qu’au sein d’un réseau local. De sorte que dans le cas très fréquent de petit réseau domestique utilisant la même « box » (modem) fibre ou ADSL, seule l’adresse du modem, lui-même distributeur d’adresses IP est visible sur le réseau Internet (adresse du réseau IP). Ce n’est donc pas un ordinateur qui est identifié, mais un réseau local.

De plus, ces adresses IP ne permettent aucune identification directe du dispositif connecté. Ce sont les fournisseurs d’accès à Internet (FAI), qui ont accès à la base de données des adresses IP de l’IANA (division de l’ICANN), qui ont connaissance du lien entre cette adresse IP et le titulaire déclaré des droits (propriétaire, locataire, utilisateur déclaré…) sur le dispositif connecté. Cette identification indirecte d’une personne par le biais de l’adresse IP qu’elle utilise a pu laisser planer un doute quant à la qualification de l’adresse IP en une donnée personnelle à laquelle s’appliquerait donc la loi Informatique et Libertés du 6 janvier 1978[1], d’autant qu’elle repose sur une présomption (à savoir que le titulaire/propriétaire est effectivement l’utilisateur, ce qui n’est pas nécessairement le cas ; tel est le cas, par exemple, des ordinateurs achetés par les parents et mis à la disposition de leurs enfants).

Rappelons, par ailleurs, qu’il existe deux sortes d’adresses IP :

– les adresses IP fixes, attribuées de façon permanente notamment par les fournisseurs d’accès ou les sociétés d’hébergement de sites web (adresse IP « statique »). Elles sont généralement professionnelles.
– les adresses IP dynamiques, attribuées de façon aléatoire par les fournisseurs d’accès à chaque connexion.

Si la Cour de Justice de l’Union Européenne (CJUE) a reconnu la nature juridique de donnée à caractère personnel à l’adresse IP depuis plusieurs années, depuis un arrêt du 24 novembre 2011[2], la jurisprudence française écartait, dans les années 2000, cette qualification. Les juridictions répressives en particulier ne considéraient pas l’adresse IP comme une donnée personnelle, suivies en cela par certaines Cour d’appel[3] et la chambre criminelle de la Cour de cassation elle-même[4].

Ces divergences n’existent plus aujourd’hui, avec la réaffirmation ou l’affirmation en fin d’année dernière, tant par la Cour de Justice de l’Union Européenne que par la Cour de cassation, qu’une adresse IP est effectivement une donnée à caractère personnel.

La première, par un arrêt en date du 19 octobre 2016[5], la seconde, par un arrêt en date du 3 novembre 2016[6] consacrent en effet définitivement – sans doute – cette qualification. Ces décisions sont tout à fait logiques au regard des textes. Tant la directive du 1995[7] que la loi du 6 janvier 1978 modifiée par la loi du 21 juin 2004 qui transpose la directive, précisent en effet que « constituent une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Or, si l’adresse IP ne permet pas une identification directe, l’intervention des FAI étant nécessaire, elle permet une identification indirecte.

Si l’adresse IP ne permet pas toujours d’identifier le contrevenant, elle n’en est pas moins une donnée à caractère personnel…sauf cas très particuliers

La négation de la qualification de donnée personnelle provient principalement du fait que l’adresse IP, même avec les informations des FAI, ne permet pas toujours l’identification de son titulaire.

Pour autant, même si cette remarque trouve tout son sens en particulier en droit pénal lorsqu’il s’agit d’identifier précisément l’auteur d’une infraction, elle n’est en rien décisive pour retirer à l’adresse IP son caractère de donnée personnelle. Cette adresse demeure rattachée à un titulaire, qui peut être indirectement identifié, quand bien même se serait-il fait subtiliser son ordinateur. Tout comme la plaque d’immatriculation d’un véhicule reste une donnée personnelle même en cas de vol.

Cette qualification est néanmoins nuancée par la CJUE. La CJUE soumet en effet la qualification de données à caractère personnel à la facilité ou non de recouper l’adresse IP avec les informations détenues par un FAI. Ainsi, pour la CJUE « tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effet démesuré en terme de temps, de coût et de main d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant ». Mais la difficulté de pouvoir anticiper ce qu’il faut entendre par « effet démesuré » oblige à la prudence et donc pour le responsable de traitement à internaliser le fait qu’une adresse IP est bien, dans la quasi-totalité des cas, une donnée personnelle.

Les conséquences de cette qualification

A partir du moment où l’adresse IP est qualifiée de donnée à caractère personnel, les règles de la loi du 6 janvier 1978 et bientôt (25 mai 2018) celles du Règlement Général sur les Données Personnelles (RGPD) trouvent à s’appliquer à leur traitement.

Jusqu’au 25 mai 2018, chaque propriétaire ou exploitant d’un site web doit, en principe (sauf dispenses pour certains traitements), déclarer les traitements des adresses IP des visiteurs.

L’une des conséquences de la non-conformité du traitement ressort de l’arrêt de la Cour de Cassation du 3 novembre 2016. En l’espèce, trois entreprises d’un même groupe qui avaient été victimes de piratage de leur réseau interne, avaient obtenu du juge des requêtes une ordonnance faisant injonction à divers FAI de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses. L’une des personnes identifiées contestait la légalité de cette ordonnance en ce que « la conservation sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la CNIL ». L’adresse IP étant une donnée personnelle et ce traitement n’ayant en effet pas été déclaré, la Cour de cassation reconnaît le caractère illégal de ce traitement et casse l’arrêt d’appel qui avait rejeté la demande de rétractation de l’ordonnance.

Ainsi, l’une des finalités de la collecte des adresses IP qui est d’assurer une protection efficace de ses serveurs peut se trouver dépourvue d’effet si la réglementation applicable aux données personnelles n’a pas été respectée.

Par ailleurs, à partir du moment où la réglementation encadrant le recueil de données personnelles s’applique, la question du consentement de la personne concernée peut se poser. On comprend la difficulté de ce recueil lorsque la finalité du traitement en cause est d’assurer la sécurité de son site internet ou de ses serveurs. L’arrêt de la CJUE du 19 octobre 2016 vient rappeler opportunément l’article 7 de la directive 95/46 qui précise que si le consentement est obligatoire, quelques exceptions sont admises. Parmi celles-ci, le consentement est considéré comme non obligatoire lorsque le traitement est « nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée (…) ». La CJUE rappelle que ces exceptions au consentement ne peuvent être ni élargies ni diminuées par les lois de transposition nationales.

En l’espèce, un citoyen allemand se plaignait de ce que son adresse IP avait été collectée par un site des services fédéraux allemand qu’il avait consulté. Le responsable de traitement justifiait l’existence de ce fichier par l’impératif de sécurité et la volonté de se prémunir contre les attaques. Pour la CJUE, cette approche était conforme à l’article 7 de la directive, « l’objectif visant à garantir la capacité générale de fonctionnement des (…) services [pouvant] justifier l’utilisation desdites données après une session de consultation de ceux-ci ». La continuité des services, et donc la finalité liée à la sécurité d’un site internet est pour la CJUE un intérêt légitime qui justifie l’absence de consentement, cet intérêt légitime prévalant sur l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Il est à noter que cette exception au principe du recueil du consentement sera toujours applicable sous l’ère du Règlement, l’article 6, 1, f) prévoyant la même exception, formulée dans des termes identiques.

***

Il est tout à fait logique au regard des textes que l’adresse IP soit qualifiée de donnée à caractère personnel et cette qualification, à la suite de l’arrêt de la CJUE, concerne aussi bien les adresses IP statiques que dynamiques. Ces arrêts sont donc tout à fait cohérents avec les textes et vigueur. Le RGPD lui-même explique à son considérant 30 qu’une adresse IP peut permettre d’identifier son titulaire[8].

Cette qualification revêt des conséquences contraignantes pour les responsables de traitement qui doivent veiller à ce que le traitement de ces données soit conforme.

L’entrée en vigueur du RGPD en mai prochain impose à chaque responsable de traitement de vérifier la légalité du traitement des adresses IP.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de SEGONZAC, Avocat à la Cour et DPO externe

__________________________________________________________

[1] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[2] CJUE, 24 novembre 2011, aff. C-70/10.

[3] Par exemple : Cour d’appel de Paris, 27 avril 2007 et 15 mai 2007.

[4] Cass, crim., 13 janvier 2009, n°08-84088.

[5] CJUE, 19 octobre 2016, aff. C-582/14.

[6] Cass, 1ère civ., 3 novembre 2016, n°15-22595.

[7] Directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[8] « Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP (…). Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Lire la suite

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.

Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.

La complexité du transfert des données personnelles vers les pays tiers

Aujourd’hui, le transfert vers les pays tiers est relativement complexe.

La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.

Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui,  après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.

Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.

De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.

Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.

La flexibilité apportée par le Règlement

Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.

Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.

C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.

Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :

  1. un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
  2. des règles d’entreprise contraignantes conformément à l’article 47 (cf. « binding corporate rules » ou « BCR »); Le Règlement définit les caractéristiques que doivent respecter ces règles d’entreprises pour pouvoir être approuvées par l’autorité de contrôle. Elles devront en particulier être contraignantes pour toutes les entités concernées du groupe d’entreprises engagées dans une activité commune et conférer aux personnes concernées des droits opposables.
  3. des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  4. des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  5. un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
  6. un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :

  1. des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou
  2. des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».

Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.

Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.

Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

Lire la suite