Articles

cookies

Un petit rappel s’impose. Par délibération du 4 juillet 2019, la CNIL avait adopté des lignes directrices relatives à la conformité de l’écriture et de la lecture des cookies et autres traceurs installés dans le terminal d’un utilisateur au regard de l’article 82 de la Loi Informatique et Libertés, en insistant sur la nécessité, sauf exception, d’obtenir un consentement libre, spécifique, éclairé et univoque se manifestant par une déclaration ou par un acte positif clair avant l’écriture ou la lecture de traceurs et en rappelant la position du CEPD en ce sens. La CNIL rappelait notamment l’interdiction, par le CEPD, du « cookie wall »[1]. Les conclusions du CEPD, dont la position a été rappelée par la CNIL, au sujet du « cookie wall » étaient assez radicales « Pour que le consentement puisse être librement accordé conformément au RGPD, l’accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement de l’utilisateur au traitement de ses données à caractère personnel ou d’informations relatives à son équipement terminal ou traitées par celui-ci. En d’autres termes, les « cookies walls » devraient être explicitement interdits ».

 

Le 19 juin 2020, statuant sur un recours exercé par les principaux groupements agissant dans les secteurs du e-commerce et de la vente à distance, de l’édition de contenus et services en ligne, du marketing digital, de la régie internet et de l’achat d’espace, ainsi que l’union des marques, le Conseil d’Etat a annulé partiellement la délibération de la CNIL[2]. Le Conseil d’Etat censurait la décision de la CNIL en considérant qu’elle ne pouvait légalement interdire les « cookie walls »dans ses lignes directrices, à savoir dans un acte de « droit souple ».

 

La question de la possibilité de mettre en place un « cookie wall » a fait couler beaucoup d’encre. Mais c’est en réalité la nature et les limites du pouvoir normatif de la CNIL qui était en jeu.

 

Les interprétations multiples de la décision du Conseil d’Etat

 

La CNIL insiste sur le fait que « le Conseil d’État a validé pour l’essentiel les lignes directrices »[3]. Le GESTE [4] fait valoir, quant à lui, que « Le Conseil d’État reconnaît ainsi aux médias la liberté de choisir leur business model sans que cela soit au détriment de la protection des données à caractère personnel »[5]. L’Association Française des Correspondants à la protection des Données à caractère Personnel constate que selon le Conseil d’Etat « … la CNIL a outrepassé ses pouvoirs en proclamant une interdiction générale et absolue de la pratique des « cookies walls »…», tout en laissant ensuite la porte ouverte à la possibilité d’un « cookies-or-pay-wall » [6].

 

Rappelons que si la notion de cookie est étrangère au RGPD, qui se borne à définir celui-ci très rapidement et de manière très superficielle le cookie dans son considérant 30, la nouvelle définition du consentement[7] conduit notamment à une présomption d’absence de consentement en cas de couplage, qui peut toutefois être renversée[8].

 

Dans son interprétation de l’article 7, paragraphe 4 du RGPD, éclairé par le considérant 43, le CEPD semble hésiter entre la possibilité d’une validité – fût-elle exceptionnelle – du « cookie wall »  et l’impossibilité absolue d’une telle validité.

 

Après avoir appelé à « bannir » la pratique du « cookie wall », l’AFCDP considère néanmoins qu’il existe des cas « où une offre payante peut être proposée en cas de refus des traceurs », semblant ouvrir la voie au modèle du « cookie-or-pay wall ». Il est exact que « le « troc 2.0 » est « expressément admis par la directive 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (considérant 24[9] et articles 2 et 3[10]) ».

 

Le « cookie wall » dans les nouvelles lignes directrices de la CNIL

 

Dans ses nouvelles lignes directrices du 17 septembre 2020[11], la CNIL tempère sa position antérieure, en retenant que la pratique dite de « cookie wall » « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement », en précisant ensuite qu’«en cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

 

Le « cookie wall » dans la recommandation de la CNIL du 17 septembre 2020

 

Dans sa recommandation du 17 septembre 2020[12], la CNIL, ne souhaitant probablement valider telle ou telle technique de « cookie wall », avec ou sans paiement, à éludé cette question. Il a appartient donc aux opérateurs de déterminer les modalités de la mise en place du « cookie wall » en indiquant clairement les conséquences des choix opérés et… en prenant un risque juridique dès lors que la validité du dispositif sera appréciée « au cas par cas » par la CNIL…

 

Pascal ALIX, avocat au barreau de Paris, DPO externe, Lead auditor (certification EUROPRIVACY)

[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

[2] https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion

[3] https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil

[4] Groupement d’éditeurs de contenus et de services

[5] https://www.geste.fr/les-professionnels-de-la-publicite-en-ligne-et-des-medias-saluent-la-decision-du-conseil-detat/

[6] AFCDP, Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall », GlobalSecurityMag, juillet 2020 : https://www.globalsecuritymag.fr/Les-DPD-DPO-de-l-AFCDP-mettent-en,20200702,100281.html

[7] Considérants 42 et 43, art. 4. 11), 7. 4) du RGPD

[8] Lignes directrices WP259 du G29 sur le consentement au sens du règlement 2016/679, adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018, p. 10

En tout état de cause, la charge de la preuve repose sur le responsable du traitement en vertu de l’article 7, paragraphe 4 »

[9] «… La présente directive devrait dès lors s’appliquer aux contrats par lesquels le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur fournit ou s’engage à fournir des données à caractère personnel… »

[10] « …La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel… »

[11] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

[12] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.

Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.

La complexité du transfert des données personnelles vers les pays tiers

Aujourd’hui, le transfert vers les pays tiers est relativement complexe.

La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.

Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui,  après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.

Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.

De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.

Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.

La flexibilité apportée par le Règlement

Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.

Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.

C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.

Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :

  1. un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
  2. des règles d’entreprise contraignantes conformément à l’article 47 (cf. « binding corporate rules » ou « BCR »); Le Règlement définit les caractéristiques que doivent respecter ces règles d’entreprises pour pouvoir être approuvées par l’autorité de contrôle. Elles devront en particulier être contraignantes pour toutes les entités concernées du groupe d’entreprises engagées dans une activité commune et conférer aux personnes concernées des droits opposables.
  3. des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  4. des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  5. un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
  6. un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :

  1. des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou
  2. des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».

Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.

Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.

Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

Lire la suite

Dans les petites entreprises françaises, la désignation d’un Correspondant Informatique et Libertés (CIL), futur « délégué à la protection des données »[1] est généralement perçue comme un coût, une variable d’ajustement, une non-priorité. Cette conception repose sur l’idée selon laquelle  la mise en conformité avec l’aide du « CIL » a un coût, prend du temps et de l’énergie, alors que le risque encouru en cas de non-conformité  est très faible. Ce fut vrai. Ce ne l’est plus.

Rappelons qu’actuellement le CIL peut être externe à l’entreprise dans les entreprises où moins de cinquante personnes sont « chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés »[2]. Le CIL externe peut, depuis 2009, être avocat[3], en satisfaisant manifestement à l’exigence d’indépendance[4].

Pourquoi désigner un CIL externe ?

  • Parce que la plupart des petites entreprises sont actuellement hors la loi

Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité.  Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au  pourcentage de non-conformité des petites structures, il est  encore bien  plus important.

  • Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques

Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.

  • Parce que la non-conformité met en danger le modèle économique de l’entreprise

Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.

  • Parce qu’en 2017, les règles du jeu vont changer en France

Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :

  • un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
  • un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
  • Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.
  • Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore

A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :

  • En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
  • En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
  • En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
  • En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
  • En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
  • En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
  • En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).
  • Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données

Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.

  • Parce que la conformité va devenir à court terme un avantage concurrentiel

Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel  avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».

  • Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures

La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

  • Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise

Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.

  • Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique

Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].

Pascal ALIX, Avocat à la Cour et CIL

Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL

[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié

[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat

[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978

[5] PwC/Iron Mountain, « Beyond Good Intentions »

[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016

[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015

[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »

[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat

[10] 29 occurrences

[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation

[12] 33 occurrences

[13] 68 occurrences

[14] Article 14 du Règlement

[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015

[16] Article 22 III. de la loi

[17] Article 37 5. du Règlement

[18] Article 37 6. du Règlement

A l’heure des objets connectés et de la vidéoprotection, à l’heure des « Smart Cities » ou « villes numériques » visant à la participation active des citoyens à la vie de la cité, à l’heure du tout numérique et des procédures administratives dématérialisées, la politique de protection des données personnelles mises en œuvre par les collectivités publiques ne peut plus être un sujet annexe.

Pourtant, cette problématique n’apparaît pas encore comme une priorité. Le budget dévolu à la sécurité des systèmes informatiques n’évolue pas ou très faiblement pour la majorité des communes alors même que les données affluent de plus en plus. Par ailleurs, les collectivités sont encore peu nombreuses à avoir nommé un correspondant Informatique et Libertés (futur « délégué à la protection des données » selon le Règlement européen). Une carte publiée par la CNIL indique en effet qu’en 2015, seules 650 collectivités locales sur 36700 en avaient un[1].

Les communes, et à leur tête les maires, sont peut-être encore peu au fait des risques qui pèsent en cas de violation de leur part de la loi Informatique et Libertés. C’est pourtant une raison de mise en cause de la responsabilité pénale du maire (5 ans d’emprisonnement, 300 000 euros d’amende). La CNIL prend d’ailleurs très au sérieux le respect de la loi Informatique et Libertés par les personnes publiques. Sa politique de contrôles pour l’année 2015 annonçait ainsi le contrôle des « Outils de mesure de fréquentation des lieux publics » dont beaucoup de collectivités se dotent aujourd’hui afin d’optimiser l’espace. Une étude des avertissements de la CNIL montre d’ailleurs que les collectivités territoriales ne font pas exception aux contrôles. Un exemple parmi d’autres concerne un avertissement adressé par la CNIL à une commune le 9 avril 2015, en raison d’un fichier relatif à la gestion des inscriptions scolaires, dont les données collectées étaient inadéquates, non pertinentes et excessives. Les citoyens étant de plus en plus formés à la problématique des données personnelles, leurs attentes dans ce domaine vont aller grandissantes. L’impact de tels avertissements pour les communes et in fine leurs élus, au-delà même des risques pénaux, peut être destructeur en termes de communication et de confiance.

Ces différentes raisons vont nécessairement amener des évolutions et une prise de conscience.

L’une de ces évolutions va même être imposée puisqu’à compter du 25 mai 2018, jour de l’entrée en vigueur du Règlement européen sur les données personnelles, la nomination d’un délégué à la protection des données (ex-« CIL ») sera rendue obligatoire dans chaque « autorité publique » ou « organisme public »[2].

Mais sans attendre mai 2018, la nomination d’un CIL dès aujourd’hui revêt de nombreux atouts.

Le CIL permet en effet au responsable du traitement, en l’occurrence le Maire dans une commune, ou le président de l’établissement public de coopération intercommunale (par ex. communauté de communesd’être accompagné notamment lors de la mise en place de nouveaux traitements de données et de la modification des traitements existants. Or ces derniers sont particulièrement nombreux dans une collectivité et peuvent revêtir des questions juridiques complexes. Le traitement de certaines données sensibles nécessite en effet des demandes d’avis ou d’autorisation auprès de la CNIL. Parmi ces données, se trouvent les données relatives aux infractions et aux condamnations, qui intéressent la police municipale, les données biométriques, les appréciations sur les difficultés sociales des personnes (fichiers des centres communaux d’action sociale,…). Une autorisation est encore nécessaire à chaque fois que la collectivité procède à une interconnexion de fichiers dont les finalités sont différentes. Ces interconnexions sont pourtant amenées à être de plus en plus souvent effectuées, en raison des applications gérées par les collectivités et des objets connectés.

Le CIL permet aussi, toujours dans sa mission d’accompagnement, de procéder à la mise en conformité si des demandes d’avis ou d’autorisation n’ont pas été pas été effectuées ou irrégulièrement effectuées, si la sécurité informatique est insuffisante (absence de PSSI et de matrice d’habilitation, mesures techniques et de protection des données insuffisantes, etc.) ou si des recommandations n’ont respectées. Les règles de protection de données personnelles concernent l’ensemble des traitements de données, que ces données soient relatives au personnel interne à la collectivité ou aux administrés. Ainsi par exemple, alors que les exigences en termes de sécurité des citoyens sont de plus en plus fortes, un système de vidéo protection ne peut être installé sans respect des recommandations de la CNIL[3] en veillant en particulier à la proportionnalité du dispositif déployé. La CNIL contrôle aussi les dispositifs en ligne des collectivités (sites internet, applications, téléservices,…). Ces contrôles en ligne ont ainsi montré que plus de 60% des communes ne sécurisent pas l’espace dédié à la dématérialisation des demandes d’actes d’état civil. Cette mise en conformité peut être accompagnée d’une sensibilisation des agents qui ont accès au traitement des données aux problématiques juridiques liées à ces traitements afin de limiter les risques.

Enfin, la nomination d’un CIL permet à la collectivité d’innover dans le respect de la loi. La demande des citoyens est forte de bénéficier de services en ligne (dématérialisation). A court terme, la grande majorité des communes disposera de son application afin de communiquer des informations et de connaître plus finement les attentes des habitants. Le CIL peut avoir pour rôle de vérifier, en amont, que ces outils respectent les règles en matière de données personnelles et de garantir aux élus une innovation respectueuse des règles légales. Ce service du CIL sera particulièrement précieux à compter de l’entrée en vigueur du Règlement européen qui impose lors de la mise en place d’innovations pouvant créer des risques en matière de protection des données personnelles la réalisation, avant tout développement, d’une analyse d’impact[4]. Pour la réaliser, le recours à un spécialiste sera, en pratique, nécessaire.

Le CIL peut être nommé en interne[5] ou être un prestataire externe. La loi n’est actuellement pas très exigeante puisqu’il faut simplement que la personne nommée dispose des « qualifications requises », sans qu’aucune précision ne soit apportée sur ce point. Or, le Règlement est bien plus précis et impose que le CIL soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (…) »[6]. Les connaissances juridiques et l’indépendance statutaire de l’avocat praticien du droit des nouvelles technologies, qui peut être CIL depuis 2009, le désigne tout naturellement pour accomplir une telle mission. Plusieurs collectivités ou un groupement de collectivités (Par ex. communautés de communes) peuvent, au demeurant, désigner un CIL mutualisé qui peut être un CIL externe.

Pascal Alix, Avocat et CIL

Hubert de Ségonzac, Avocat et CIL

[1] Gazette des communes, 4 septembre 2015, Protection des données personnelles : y a-t-il un CIL près de chez vous ?

[2] Article 37.

[3] Délibération n°94-056 du 21 juin 1994.

[4] Article 35.

[5] Le CIL est obligatoirement nommé en interne lorsque plus de 50 personnes sont chargés de la mise en œuvre des traitements ou y ont accès. L’entrée en vigueur marquera l’abandon de ce critère et la possibilité de recourir à un CIL externe dans tous les cas.

[6] Article 37.