Transferts de Données en Péril

Transferts de Données en Péril : L’Énième Tempête sur le Data Privacy Framework UE-États-Unis

Introduction

L’Union européenne est confrontée à une nouvelle vague de turbulences dans le domaine sensible de la protection des données personnelles. Après les invalidations successives du Safe Harbor en 2015 et du Privacy Shield en 2020 par la Cour de justice de l’Union européenne (CJUE), le Data Privacy Framework (DPF) fraîchement adopté est déjà menacé. Cette invalidation attendue du Data Privacy Framework UE-États-Unis soulève des préoccupations majeures pour les entreprises européennes qui dépendent des services de sociétés américaines. Quelles sont les implications de cette situation ? Comment les entreprises peuvent-elles anticiper et gérer les risques associés ? Plongeons au cœur de cette problématique complexe et stratégique.

Le Data Privacy Framework : Un Pont Fragile Entre Deux Rives

Le Data Privacy Framework, adopté en juillet 2023, avait pour ambition de rétablir la confiance dans les transferts de données transatlantiques, ébranlée par les invalidations précédentes. Il visait à renforcer les protections pour les citoyens européens et à répondre aux exigences strictes du RGPD. Pour ce faire, les États-Unis ont introduit de nouvelles mesures, telles que la création d’un tribunal indépendant pour examiner les plaintes concernant la surveillance américaine et des engagements à limiter la collecte de données aux strictes nécessités de sécurité nationale.

Cependant, malgré ces avancées, le DPF est perçu par beaucoup comme un pont fragile susceptible de s’effondrer sous le poids des critiques. Les organisations de défense de la vie privée pointent du doigt les insuffisances du cadre américain en matière de surveillance. Elles estiment que les modifications apportées ne suffisent pas à garantir un niveau de protection équivalent à celui de l’UE. Max Schrems, figure emblématique des batailles juridiques précédentes, a déjà exprimé son scepticisme et envisage de contester le DPF devant la CJUE.

De surcroît, la législation américaine, notamment le FISA et l’Executive Order 12333, permet toujours aux agences de renseignement de collecter massivement des données, y compris celles des citoyens européens. Cette réalité juridique aux États-Unis alimente les craintes que le DPF ne soit qu’un pansement sur une plaie profonde, incapable de résister à un examen juridique approfondi par la CJUE.

Incertaines et Exposées : Les Entreprises Européennes Face aux Risques Juridiques

L’invalidation possible du DPF place les entreprises européennes dans une position précaire. Celles qui utilisent des services de sociétés américaines, qu’il s’agisse de solutions cloud comme AWS ou Microsoft Azure, de services marketing tels que Google Analytics, ou encore d’outils de productivité comme Office 365, sont directement concernées. En cas d’invalidation, ces entreprises pourraient se retrouver en violation du RGPD, avec des risques de sanctions qui peuvent atteindre 4 % du chiffre d’affaires annuel mondial.

Au-delà des sanctions financières, il y a un risque réputationnel non négligeable. La confiance des clients est un capital intangible précieux, et toute atteinte à la protection des données peut entraîner une perte de crédibilité et de parts de marché. Les entreprises doivent donc naviguer avec prudence pour éviter de tomber dans les écueils juridiques.

De plus, l’incertitude juridique entrave la planification stratégique. Les entreprises sont confrontées à des décisions difficiles : doivent-elles investir dans la localisation des données en Europe ? Faut-il changer de fournisseurs ou renégocier les contrats pour inclure des garanties supplémentaires ? Ces questions complexes nécessitent une analyse approfondie et une adaptation rapide aux évolutions réglementaires.

Jeu d’Influences : Quand les Pressions Américaines S’Intensifient

Parallèlement, les États-Unis intensifient leurs efforts pour influencer les réglementations européennes. Les grandes entreprises technologiques américaines, soutenues par l’administration, exercent des pressions pour assouplir les lois européennes jugées trop strictes. Le Digital Markets Act (DMA), le Digital Services Act (DSA) et l’AI Act sont au cœur des préoccupations, car ils imposent des obligations et des restrictions significatives aux plateformes numériques.

Cette offensive américaine vise à défendre les intérêts économiques des géants de la technologie, mais elle est perçue par l’Europe comme une ingérence dans sa souveraineté réglementaire. Les tensions s’accroissent, et les négociations deviennent de plus en plus complexes. L’UE doit concilier la nécessité de protéger les données de ses citoyens avec les impératifs commerciaux et diplomatiques.

Dans ce contexte, le RGPD reste une cible. Les tentatives pour limiter ses exceptions et le rendre plus favorable aux entreprises américaines sont vues comme une atteinte aux droits fondamentaux. L’Europe doit donc défendre fermement son cadre réglementaire tout en cherchant des moyens de coopération efficaces avec les États-Unis.

Naviguer en Eaux Troubles : Stratégies pour les Entreprises Européennes

Face à ces défis, les entreprises européennes doivent adopter une stratégie proactive pour gérer les risques. Premièrement, il est crucial d’effectuer une évaluation approfondie des flux de données et des dépendances vis-à-vis des fournisseurs américains. Identifier les points critiques permet de prioriser les actions à entreprendre pour se conformer aux réglementations.

Deuxièmement, explorer des alternatives européennes peut être une solution viable. De nombreux fournisseurs locaux offrent des services compétitifs qui répondent aux normes strictes du RGPD. En optant pour des solutions européennes, les entreprises peuvent réduire les risques liés aux transferts de données hors UE et renforcer leur conformité.

Troisièmement, renforcer les mesures de sécurité et de protection des données est indispensable. Cela inclut la mise en place de politiques internes robustes, la formation du personnel aux bonnes pratiques et l’adoption de technologies de pointe pour sécuriser les données sensibles.

Enfin, rester informé des évolutions légales et maintenir un dialogue ouvert avec les autorités de protection des données est essentiel. Les entreprises peuvent ainsi anticiper les changements et adapter rapidement leurs stratégies pour rester en conformité.

L’Aube d’une Autonomie Numérique : Saisir l’Opportunité de l’Innovation

Cette période d’incertitude peut être perçue non seulement comme un défi, mais aussi comme une opportunité pour l’Europe de renforcer son autonomie numérique. En investissant dans l’innovation technologique locale, l’UE peut réduire sa dépendance aux fournisseurs étrangers et promouvoir des solutions respectueuses de la vie privée.

Des initiatives telles que le cloud européen Gaia-X témoignent de cette volonté de construire une infrastructure numérique souveraine. En encourageant la collaboration entre les acteurs européens, l’UE peut stimuler la compétitivité de ses entreprises et offrir des alternatives fiables aux services américains.

De plus, en capitalisant sur le RGPD comme un atout compétitif, les entreprises européennes peuvent se positionner comme des leaders de la protection des données. Cette approche éthique répond à une demande croissante des consommateurs pour des services transparents et respectueux de leur vie privée.

Conclusion

En conclusion, l’invalidation attendue du Data Privacy Framework UE-États-Unis représente un défi majeur pour les entreprises européennes, mais aussi une occasion unique de repenser leurs stratégies de gestion des données. En adoptant une approche proactive, en renforçant la conformité et en investissant dans l’innovation locale, elles peuvent non seulement atténuer les risques, mais aussi se positionner à l’avant-garde d’un nouveau paradigme numérique. Il est impératif que les entreprises, les gouvernements et les citoyens unissent leurs efforts pour bâtir un écosystème digital sûr, éthique et durable.

Le RGPD prévaut sur le secret des affaires, selon la CJUE

dans Jurisprudences, Thématiques

Le RGPD prévaut sur le secret des affaires, selon la CJUE

Dans une décision majeure, la Cour de justice de l’Union européenne (CJUE) a statué que le Règlement général sur la protection des données (RGPD) prime sur le secret des affaires. Cette décision éclaire le conflit entre le droit d’accès garanti par le RGPD et le droit à la non-divulgation des secrets commerciaux. Voici une analyse détaillée de cette décision et de ses implications.

Contexte du litige

Une citoyenne autrichienne s’est vu refuser la conclusion ou la prolongation d’un contrat de téléphonie mobile. La raison invoquée était une évaluation défavorable de son crédit, issue d’une prise de décision automatisée. Selon cette évaluation, elle ne présentait pas une solvabilité financière suffisante.

Considérant cette décision injuste, elle a saisi l’autorité autrichienne de protection des données (équivalent de la CNIL en France). Elle a obtenu que l’entreprise responsable du scoring lui communique des informations sur la logique sous-jacente de cette évaluation.

Cependant, l’entreprise a estimé qu’en raison du secret des affaires, elle n’était pas tenue de fournir davantage d’informations que celles déjà communiquées. Elle a donc formé un recours devant le Tribunal administratif fédéral, arguant que la divulgation totale de sa méthode de scoring compromettrait ses secrets commerciaux.

Le Tribunal administratif fédéral a jugé que l’entreprise devait fournir plus d’explications pour permettre à la personne concernée de comprendre comment le score avait été établi. Les informations initiales, indiquant simplement que des données sociodémographiques avaient été « agrégées de manière équivalente », étaient jugées insuffisantes.

Chargée d’exécuter cette décision, l’administration municipale de Vienne a refusé, estimant également que les informations fournies étaient suffisantes. La citoyenne autrichienne a alors déposé un recours devant le tribunal administratif de Vienne.

Ce dernier a ordonné à l’entreprise de fournir :

Les données personnelles traitées (date de naissance, adresse, sexe, etc.) utilisées dans le calcul du « facteur » de scoring.
La formule mathématique à la base du calcul du score.
La valeur attribuée à la personne pour chacun des facteurs concernés.
La précision des intervalles à l’intérieur desquels la même valeur est attribuée à différentes données pour le même facteur.

L’entreprise devait également fournir une liste de scores attribués à d’autres personnes sur la base de la même règle de calcul, sur une période d’un an (six mois avant et six mois après l’établissement du score de la plaignante).

Entre secret des affaires et RGPD : cadre juridique

Le litige portait principalement sur l’interprétation de plusieurs textes juridiques :

1. Article 15, paragraphe 1, point h) du RGPD

Cet article accorde aux personnes concernées le droit d’obtenir des informations sur l’existence d’une prise de décision automatisée, y compris le profilage. Il stipule que la personne a le droit d’accéder « au moins à des informations utiles concernant la logique sous-jacente », ainsi qu’à l’importance et aux conséquences prévues de ce traitement pour elle.

2. Article 22 du RGPD

Il prévoit le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant de manière significative la personne concernée. Il y a toutefois des exceptions, notamment si la décision est nécessaire à la conclusion ou à l’exécution d’un contrat, si elle est autorisée par le droit de l’UE ou si elle est basée sur le consentement explicite de la personne concernée.

3. Directive (UE) 2016/943 sur la protection du secret des affaires

Elle définit le secret des affaires comme des informations qui :

Sont secrètes, c’est-à-dire non généralement connues ou aisément accessibles.
Ont une valeur commerciale parce qu’elles sont secrètes.
Ont fait l’objet de mesures raisonnables pour les garder secrètes.

4. Droit autrichien (Datenschutzgesetz)

L’article 4, paragraphe 6, du Datenschutzgesetz (équivalent de la loi française « Informatique et Libertés ») exclut, en principe, l’accès de la personne concernée à ses données personnelles lorsque cet accès porte préjudice à un secret commercial ou industriel du responsable du traitement ou d’un tiers.

Questions posées à la CJUE

Le tribunal administratif de Vienne a soumis plusieurs questions préjudicielles à la CJUE pour clarifier le conflit entre le RGPD et le secret des affaires. Les principales interrogations étaient :

Jusqu’où le droit d’accès prévu par le RGPD s’étend-il face au secret des affaires ?
Quelles sont les exigences matérielles pour que les informations fournies soient considérées comme « utiles » au sens du RGPD ?
Les informations doivent-elles permettre à la personne concernée de vérifier l’exactitude des données et de contester la décision automatisée ?

Analyse de la CJUE

1. Primauté du RGPD sur le secret des affaires

La CJUE a affirmé que le RGPD, en tant que règlement de l’UE, a une portée générale et est directement applicable dans tous les États membres. Il vise à protéger les droits fondamentaux des personnes, notamment le droit à la protection des données personnelles.

La Cour a souligné que, bien que le secret des affaires soit protégé, il ne peut pas prévaloir sur le droit d’accès garanti par le RGPD. Les responsables du traitement ne peuvent pas invoquer de manière générale le secret des affaires pour refuser de fournir les informations requises.

2. Rôle des juridictions nationales

La CJUE a validé le fait que les juridictions nationales peuvent exiger que les informations soient fournies à l’autorité ou à la juridiction saisie pour évaluer si elles relèvent effectivement du secret des affaires. Cela permet une pondération des intérêts en présence.

La Cour a indiqué qu’une réglementation nationale ne peut pas fixer de manière définitive le résultat de cette pondération, car cela reviendrait à restreindre les droits conférés par le RGPD.

3. Définition des « informations utiles »

La notion d' »informations utiles concernant la logique sous-jacente » est cruciale. La CJUE a interprété ce terme de manière à garantir une compréhension suffisante par la personne concernée.

Elle a estimé que les informations doivent permettre à la personne de comprendre la méthode de prise de décision automatisée, sans pour autant exiger la divulgation de détails techniques ou de secrets commerciaux spécifiques. Autrement dit, il s’agit d’un « droit à l’explication » de la procédure et des principes appliqués.

4. Droit à la vérification et à la contestation

La Cour a également souligné que la personne concernée doit pouvoir vérifier l’exactitude des données utilisées et contester la décision automatisée si nécessaire. Cela implique que le responsable du traitement doit fournir suffisamment d’informations pour permettre cette vérification.

Implications de la décision

1. Pour les entreprises

Les entreprises qui utilisent des prises de décisions automatisées, notamment des systèmes de scoring ou de profilage, doivent être prêtes à fournir des informations claires sur la logique sous-jacente de ces décisions.

Transparence accrue : Elles doivent expliquer quelles données personnelles sont utilisées et comment elles influent sur la décision.
Documentation des processus : Il est essentiel de documenter les algorithmes et les méthodes de décision pour pouvoir fournir des explications aux personnes concernées.
Formation du personnel : Le personnel doit être formé pour comprendre les obligations légales et répondre aux demandes d’informations conformément au RGPD.

2. Pour les personnes concernées

Les individus ont le droit :

D’être informés de l’existence de prises de décisions automatisées les concernant.
D’obtenir des explications sur la logique sous-jacente à ces décisions.
De vérifier l’exactitude des données et de contester les décisions automatisées.

3. Pour les autorités de protection des données

Les autorités sont encouragées à :

Veiller à ce que les responsables du traitement respectent les obligations de transparence.
Faciliter la compréhension des droits par les personnes concernées.
Offrir des lignes directrices pour aider les entreprises à se conformer au RGPD.

Conclusion

La décision de la CJUE clarifie la primauté du RGPD sur le secret des affaires en matière de droit d’accès aux données personnelles et aux informations sur les prises de décisions automatisées. Elle renforce les droits des individus à comprendre comment leurs données sont traitées et utilisées dans des décisions qui les affectent.

Cette décision aura un impact significatif sur les pratiques des entreprises, qui doivent désormais concilier leurs intérêts commerciaux avec les obligations de transparence imposées par le RGPD. Elles doivent s’assurer que le secret des affaires n’est pas utilisé comme un prétexte pour limiter les droits des personnes concernées.

Il est crucial pour les entreprises de réévaluer leurs processus internes, de former leur personnel et de garantir une conformité totale avec le RGPD pour éviter des sanctions potentielles et préserver la confiance des consommateurs.

Points clés à retenir

Primauté du RGPD : Le RGPD l’emporte sur le secret des affaires en cas de conflit concernant le droit d’accès aux données et aux informations sur les décisions automatisées.
Droit à l’explication : Les individus ont le droit d’obtenir des informations utiles sur la logique sous-jacente des décisions automatisées qui les concernent.
Pondération des intérêts : Les juridictions nationales doivent équilibrer les droits à la protection des données personnelles avec le secret des affaires au cas par cas.
Obligations des entreprises : Les entreprises doivent être transparentes sur leurs méthodes de prise de décision automatisée sans compromettre indûment leurs secrets commerciaux.

Recommandations pour les entreprises

Audit des processus : Examiner les systèmes de prise de décision automatisée pour identifier les informations pouvant être divulguées sans compromettre le secret des affaires.
Documentation détaillée : Établir une documentation claire des algorithmes et des méthodes utilisés, prête à être partagée avec les autorités ou les personnes concernées.
Formation du personnel : Sensibiliser les employés aux obligations du RGPD et aux processus de réponse aux demandes d’accès.
Communication transparente : Mettre en place des procédures pour fournir des explications adaptées aux personnes concernées, en évitant le jargon technique.
Consultation juridique : Travailler avec des experts en protection des données pour s’assurer de la conformité avec le RGPD et anticiper les problèmes potentiels.

Perspectives futures

Cette décision pourrait influencer les pratiques commerciales au-delà des frontières autrichiennes, établissant un précédent au sein de l’Union européenne. Elle souligne l’importance croissante de la transparence et de la protection des données dans un monde de plus en plus numérique et automatisé.

Les entreprises devront s’adapter à cette nouvelle réalité, où le respect des droits des individus en matière de données personnelles est non négociable. Cela pourrait également encourager le développement de solutions technologiques qui concilient efficacité commerciale et respect des réglementations sur la protection des données.

Ressources supplémentaires

Texte intégral du RGPD : Pour comprendre en détail les obligations légales.
Directive (UE) 2016/943 : Sur la protection du secret des affaires.
Guides pratiques : Publiés par les autorités de protection des données pour aider les entreprises à se conformer aux exigences.

Conclusion finale

La protection des données personnelles est un enjeu majeur dans notre société moderne. La décision de la CJUE réaffirme le droit des individus à comprendre comment leurs données sont utilisées, en particulier lorsqu’elles influencent des décisions importantes les concernant. Les entreprises doivent prendre cette décision au sérieux et agir en conséquence pour garantir le respect des droits de leurs clients et utilisateurs.

Cette affaire souligne également le rôle crucial des juridictions et des autorités de protection des données dans l’application et l’interprétation du RGPD. Elle rappelle que la protection des données personnelles est une responsabilité partagée, nécessitant la collaboration de tous les acteurs pour créer un environnement numérique sûr et transparent.

Euro numérique

dans Actualités, Thématiques

Euro numérique : les recommandations de l’EDPB et l’EDPS

Le Comité Européen de la Protection des Données (En anglais « European Data Protection Board » ou EDPB) et le Contrôleur Européen de la Protection des Données (« European Data Protection Supervisor » ou EDPS) ont publié mercredi 18 octobre 2023 un avis conjoint sur la proposition de règlement relatif à l’euro numérique en cours de création par la Banque Centrale Européenne (BCE). Cet avis conjoint fait suite à la demande de la Commission Européenne.

Leurs recommandations visent à garantir les « normes les plus élevées en matière de protection des données à caractère personnel (DCP) et de la vie privée pour le futur euro numérique en cours de création par la BCE ».

Le sigle français CEPD étant le même pour désigner le Contrôleur et le Comité, nous utiliserons plutôt les abréviations anglaises EDPB et EDPS dans la suite de cet article.

RGPD-Experts vous livre son analyse

Le Comité Européen de la Protection des Données (EDPB) a pour mission d’harmoniser l’application du RGPD au sein des autorités de protection des données européennes, tout en encourageant leur coopération. Le Contrôleur Européen de la Protection des Données (EDPS) quant à lui, surveille la conformité des institutions et organes européens au RGPD.

La distribution imminente de l’euro numérique, en tant que monnaie légale, générera une multitude de traitements de données personnelles par divers acteurs publics et privés. Ces traitements auront inévitablement des répercussions sur la vie privée, les libertés individuelles et les droits des citoyens.

Avant la mise en circulation de l’euro numérique, le Comité et le Contrôleur jouent pleinement leur rôle en émettant des recommandations. L’objectif est de garantir le respect des réglementations en matière de protection des données, des personnes et des libertés individuelles. Les autorités insistent sur le principe de « privacy by design and by default » énoncé à l’article 25 du RGPD [1], exigeant la mise en place de mesures techniques et organisationnelles adéquates et proportionnées. Ces mesures visent à assurer la conformité au RGPD et à garantir la protection des droits des personnes concernées.

Contexte et rétrospective des 3 dernières années

En octobre 2020, la BCE (Banque centrale Européenne) a publié un rapport sur l’euro numérique, visant à consulter les parties prenantes et le grand public sur son projet de monnaie numérique, dans le but de répondre à la forte réticence des régulateurs financiers quant au développement des cryptomonnaies.

Le rapport fait part du constat de la BCE du déclin des paiements en espèces au profit des solutions de paiement numériques.

En recontextualisant : l’explosion des paiements numériques a été, sans aucun doute, favorisée par la pandémie de covid-19. Les paiements électroniques s’imposent du fait des confinements successifs dans toute l’Union Européenne (UE), de l’instauration de la « distance sociale » et des « gestes barrières », accompagnée de l’adoption générale du paiement sans contact, de l’essor d’e-commerce, des plateformes de livraison et du « click and collect ». Les banques ont d’ailleurs largement contribué au développement de ce mode de paiement en augmentant les seuils de paiement mais aussi en accélérant le déploiement de solutions de paiements sur mobile.

La valeur du Bitcoin – la cryptomonnaie ayant la plus forte capitalisation – a oscillé entre 4500€ et 57000€, avec de fortes variations à la hausse comme à la baisse entre début 2020 et fin 2022, démontrant une nouvelle fois sa volatilité. C’est un argument clé en main pour les banques centrales qui souhaitent réguler, voire verrouiller l’ensemble du marché.

Plusieurs cryptomonnaies appelées « stable coins », censées répliquer le cours des monnaies fiduciaires (comme le dollar) se sont effondrées en 2022. Terra USD et FTX par exemple, entraînant dans leur chute la ruine de nombreux investisseurs et la fragilité de tout « l’écosystème crypto » : les autres cryptomonnaies, les plateformes d’échange, et les entreprises impliquées.

Les banques centrales bénéficient donc d’un contexte plutôt favorable à l’accélération de la création de leurs propres monnaies numériques – Monnaies Numériques de Banques Centrales (MNBC) – dans lesquelles s’inscrit l’euro numérique de la BCE.

Si la BCE semble avoir une autoroute devant elle, elle devra dans tous les cas respecter les limitations de la collecte, des traitements, et de la conservation des données personnelles. Elle aura droit à différents rappels à la loi par les autorités.

Les résultats de la consultation de la BCE sont publiés en avril 2021. L’EDPB adresse dès le 18 juin 2021 une lettre aux institutions européennes concernant ce projet [2], où il y est déjà question de mise en œuvre du principe de « privacy by design and by default ».

Le 14 juillet 2021, la BCE annonce le lancement de son projet d’euro numérique : une phase pilote de deux ans et un objectif d’une mise en œuvre définitive vers 2024 [3].

L’EDPB adopte le 10 octobre 2022 une déclaration sur le choix de conception d’un euro numérique du point de vue de la vie privée et de la protection des données [4] dans laquelle figurent cinq grandes recommandations :

Respecter la vie privée et la protection des données dès la conception et par défaut,
Éviter la validation et le traçage systématiques des transactions,
Instaurer un seuil de protection de la vie privée, tant hors ligne qu’en ligne,
Créer un cadre réglementaire spécifique,
Encourager le débat démocratique public.

L’avis conjoint de l’EDPB et de l’EDPS du 18 octobre 2023 reprend – encore – ces recommandations et les étaye, rappelant ce qui a déjà été mis en œuvre, les risques résiduels, les modifications préconisées et les compléments attendus.

Il convient de rappeler que la BCE est indépendante dans l’exercice de ses pouvoirs et que l’Union Européenne et ses institutions, organes et organismes, doivent respecter cette indépendance conformément à l’article 282 paragraphe 3 du Traité sur le Fonctionnement de l’Union Européenne (TFUE). Il est stipulé à l’article 130 que la BCE ne sollicite et n’accepte pas d’instructions de ces derniers.

L’EDPB et l’EDPS respectent cette autonomie décisionnelle et précisent que la proposition de règlement relatif à l’euro numérique doit fournir des règles claires – soumises à discussion et approbation législatives – sur le traitement des données à caractère personnel. Elle doit aussi garantir le niveau le plus élevé possible de protection des droits des personnes et les libertés fondamentales.

Les choix techniques de la BCE devront respecter la législation de l’Union en matière de protection des données, y compris les exigences de nécessité et de proportionnalité.

Constats et recommandations

L’avis conjoint insiste à plusieurs reprises sur le fait que la confiance du public impose un haut niveau de confidentialité et de respect de la vie privée. L’euro numérique doit exister conjointement au paiement en espèces, et ne pas le remplacer.

Les efforts déployés pour établir les finalités des traitements de données à caractère personnel (DCP) par les différents acteurs impliqués dans l’émission et la distribution de l’euro numérique, et les catégories de DCP concernées sont salués. Toutefois, l’avis souligne le manque de précisions quant aux bases légales appliquées aux traitements, la répartition des responsabilités en fonction des acteurs intervenant dans les traitements et des catégories de données personnelles traitées..

Bien que l’EDPB et l’EDPS se félicitent que la distribution soit effectuée de manière décentralisée, elles attendent que les modalités de distribution soient précisées dans le texte législatif final. Elles restent également sur leur fin quant aux précisions sur la manière dont les données personnelles seront traitées par les Prestataires de Services de Paiement (PSP), ainsi que sur le traitement de données personnelles effectué pour faire respecter les limites de frais éventuellement demandés par les PSP. Seront-ils responsables conjoints des traitements de données à caractère personnel occasionnés ? Seront-ils sous-traitants ?

Concernant l’infrastructure de règlement fournie et gérée par la BCE, la proposition devrait inclure une obligation contraignante qui garantirait la pseudonymisation de toutes les données de transactions vis-à-vis de la BCE et des banques centrales nationales.

Deux modalités d’euro numérique sont proposées : une modalité en ligne et une modalité hors ligne. La proposition de la BCE prévoit l’enregistrement de toutes les transactions en ligne, quel que soit leur montant. L’avis conjoint recommande un niveau élevé de confidentialité pour les paiements numériques en euros hors ligne (comme l’envisage la proposition) mais aussi pour les paiements en ligne de faibles montants. La BCE semble une nouvelle fois tentée par le traçage systématique des transactions, ce qui n’est pas du goût des autorités.

Les dispositions relatives au mécanisme de détection et de prévention de la fraude par les PSP manquent de visibilité : la question se pose sur les tâches qui seront exécutées par la BCE pour superviser cette lutte exercée par les PSP, ni quelles tâches et quels traitements de données afférents seront exécutés par les PSP. L’EDPB et l’EDPS demandent de démontrer la nécessité d’un tel mécanisme et de prévoir des règles claires et précises, régissant sa portée et son application. À défaut, des mesures moins intrusives du point de vue de la protection des données devraient être introduites, accompagnées de garanties appropriées. L’indépendance de la BCE ne l’exonère pas du respect des exigences de nécessité et de proportionnalité, et la lutte contre la fraude ne peut pas servir d’excuse à une surveillance sans limite.

Ils demandent également d’inclure une référence explicite au cadre juridique applicable en matière de cybersécurité dans le préambule de la proposition, du fait des risques auxquels l’euro numérique pourrait être confronté.

L’EDPB et l’EDPS regrettent que la proposition ait écarté l’approche d’une « confidentialité sélective » pour les paiements en ligne de faible montant et recommandent d’étendre le régime spécifique à la modalité hors ligne pour les transactions de faible valeur effectuées en ligne, en établissant un seuil en dessous duquel il n’y aurait pas de traçage des transactions à des fins de Lutte contre le Blanchiment des Capitaux et le Financement du Terrorisme (LCB-FT). Au même titre que pour la lutte contre la fraude, les traitements liés à la LCB-FT doivent être proportionnés et leur nécessité doit être démontrée. Ils ne doivent pas servir d’excuse au traçage systématique ou à la surveillance généralisée.

La lettre de l’EDPB aux institutions européennes du 18 juin 2021 pointait déjà le risque de suivi général des transactions, le risque d’identification excessive des citoyens et le risque pour la sécurité des données de paiement. Le comité préconisait de concevoir l’euro numérique en s’appuyant sur l’utilisation des espèces afin de trouver le juste équilibre entre la vie privée et la protection des données d’une part, et la LCB-FT d’autre part. Tout accès aux transactions par la BCE ou les banques centrales nationales devrait être évité.

Le Comité et le Contrôleur rappellent l’obligation pour tous les responsables de traitements et responsables conjoints de traitements de données personnelles liés à l’euro numérique, de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) du fait des exigences de l’article 35 du RGPD. La proposition de règlement devrait rappeler l’obligation de protection de la vie privée et des données personnelles dès la conception et par défaut, lors de l’établissement de la conception opérationnelle et des choix technologiques.

L’EDPB et l’EDPS reconnaissent que la proposition prévoit des contraintes spécifiques pour les responsables de traitement et des garanties pour les personnes concernées, comme l’interdiction de conserver des données de transaction hors ligne par les PSP, les banques centrales ou la BCE. Ils saluent également l’obligation pour la BCE de consulter le Contrôleur Européen de la Protection des Données (EDPS) avant l’adoption de mesures, règles et normes détaillées susceptibles d’avoir une incidence sur la protection des données.

D’autres remarques, plus spécifiques figurent également dans l’avis conjoint comme :

La nécessité de bien définir les « appareils mobiles » et les « dispositifs de stockage locaux »,
La nécessité d’expliciter la notion de pseudonymisation sous-entendue par les notions « d’identifiant utilisateur » et « d’alias utilisateur »,
L’importance de définir l’expression « numéro de compte de paiement numérique en euros » pour clarifier les différents types d’identifiants mentionnés dans la proposition,
Le besoin de clarifier les traitements effectués dans le cadre de la distribution de l’euro numérique à des personnes physiques ou morales qui ne résident pas ou ne sont pas établies dans les États membres.

L’avis conjoint fournit aussi des recommandations très détaillées quant aux spécificités des traitements de DCP liés au couplage d’un compte en euro numérique et d’un compte bancaire traditionnel. Il en est de même quant à l’utilisation de l’euro numérique comme réserve de valeur et comme moyen de paiement, ses caractéristiques techniques, aux opérations de règlement, au mécanisme général de détection et prévention de la fraude, à la cybersécurité et à la résilience opérationnelle, et bien sûr à la LCB-FT.

Si l’avis semble réitérer – en vain – des consignes et recommandations déjà formulées à plusieurs reprises par l’EDPB depuis 2020, l’alignement du Contrôleur Européen de la Protection des Données (EDPS) devrait favoriser la prise en compte de ces mesures. L’intervention du « gendarme européen » rappelle ici à la BCE que le respect du RGPD est une obligation, y compris pour les institutions et organes de l’Union Européenne. Bon gré, mal gré, entendra-t-elle le message ?

Pour plus d’informations, RGPD-Experts vous invite à consulter l‘avis conjoint disponible (en anglais) sur le site du Comité Européen de la Protection des Données[5].

[1] Article 25 du RGPD Protection des données dès la conception et protection des données par défaut : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25

[2]Lettre de l’EDPB aux institutions européennes : https://edpb.europa.eu/system/files/2021-07/edpb_letter_out_2021_0111-digitaleuro-toecb_en_1.pdf

[3] Site internet de la Banque Centrale Européenne : https://www.ecb.europa.eu/press/pr/date/2021/html/ecb.pr210714~d99198ea23.fr.html

[4] Déclaration 04/2022 sur les choix de conception d’un euro numérique du point de vue de la vie privée et de la protection des données : https://edpb.europa.eu/system/files/2023-01/edpb_statement_20221010_digital_euro_fr.pdf

[5] Avis conjoint de l’EDPB et l’EDPS sur la proposition de règlement relatif à l’euro numérique : https://edpb.europa.eu/system/files/2023-10/edpb_edps_jointopinion_022023_digitaleuro_en.pdf

Télétravail et conformité : aberration ou une simple question d’organisation ?

dans Actualités, Thématiques

RGPD-Experts vous souhaite une belle rentrée !

Vous êtes employé et souhaitez prendre connaissance des nombreux mails reçus pendant vos congés depuis votre salon, pour fuir l’humour parfois douteux de vos collègues ou simplement mieux vous concentrer sur vos projets ? Vous êtes employeurs et souhaitez offrir un confort personnel à vos salariés en les laissant libres de planifier leurs journées de travail comme ils l’entendent ?

Quelles que soient vos motivations, vous êtes probablement nombreux à recourir au télétravail en ce retour de vacances.

Cette pratique, peu développée en France avant la crise sanitaire, s’est depuis généralisée et banalisée.

Cette forme d’organisation du travail induit, par définition, une manipulation à distance du patrimoine informationnel de l’entreprise. Le télétravail pose ainsi de nombreuses questions en termes de protection des données personnelles, c’est pourquoi il est essentiel que ses modalités de mise en œuvre soient rigoureusement encadrées, dans l’intérêt de tous.

ATTENTION – Tant qu’il détermine les finalités et moyens des traitements de données mis en œuvre par la société, l’employeur demeure « responsable de traitement » aux yeux de la loi. Le fait que les données soient exploitées voire stockées sur des équipements situés chez ses collaborateurs ne le décharge en aucun cas de sa responsabilité en cas non-conformité !

Conformité lors de l’instauration du télétravail

Le recours au télétravail doit, dans les entreprises privées, faire l’objet d’un accord formalisé avec l’employeur.

Au-delà d’un accord sur le principe même de ce travail en distanciel, nous vous conseillons de formaliser aussi les conditions précises de sa mise en œuvre, en concertation si possible avec les représentants du personnel.

Deux options s’ouvrent alors au responsable de traitement pour permettre aux membres de l’organisme de continuer à poursuivre leurs missions de chez eux :

① Soit il décide que le personnel ne pourra travailler que sur des outils fournis à cet effet, dédiés à leur activité professionnelle et paramétrés par la société (ordinateurs, tablettes, téléphones voire box Internet) ;

② Soit il les autorise à utiliser leurs terminaux personnels à des fins professionnelles, ce que l’on appelle plus communément le « BYOD » (pour l’anglais « Bring Your Own Device » ou, selon l’acronyme français « AVEC », « Apportez Votre Équipement personnel de Communication »).

Si cette solution apparaît souvent plus facile et moins coûteuse à mettre en œuvre pour les employeurs, elle présente un risque plus élevé en termes de protection des données personnelles.

Dans tous les cas, il est essentiel que l’organisme adopte une CHARTE INFORMATIQUE spécifique au télétravail, et accomplisse les démarches nécessaires pour que ce document acquiert une valeur contraignante.

À la fois outil d’information et de prévention, la charte informatique recense les bonnes pratiques devant être adoptées par les utilisateurs du réseau et du parc informatique de l’organisme, afin de se prémunir de toute difficulté. Ce document fait ainsi des collaborateurs des acteurs essentiels de la « culture de sécurité » de l’entreprise.

Nous vous incitons aussi, et surtout, à mener des ACTIONS DE SENSIBILISATION auprès de vos collaborateurs, pour leur expliquer l’intérêt de ces consignes de sécurité (sessions de formations, documentation disponible sur l’Intranet de l’entité, opérations de communication régulières (envoi de newsletters à ce sujet, réunions d’information, guides pratiques…).

Conformité pendant le télétravail

Que les membres de votre organisme télétravaillent depuis leurs propres appareils ou non, nous vous recommandons d’être vigilants sur la configuration de ces terminaux, par eux ou par vous. Des gestes simples participent à la protection des données personnelles de l’entreprise, tels que :

SUR LES POSTES DE TRAVAIL

Cloisonner les espaces de travail (créer des comptes distincts pros/persos, mettre en place des habilitations pour limiter l’accès à chaque espace aux personnels concernés, etc.);
Installer un antivirus et un pare-feu ;
Faire les mises à jour des systèmes d’exploitation proposées ainsi que des sauvegardes régulières, de préférence sur les infrastructures de l’entreprise et non des appareils privés.

POUR LES CONNEXIONS & COMMUNICATIONS

Limiter les besoins de connexion à Internet (notamment en recourant à un VPN) et, à défaut, configurer les Box Wifi en conséquence (supprimer les accès partagés et réseaux invités, mettre un mot de passe fort de connexion, activer la Wi-Fi en chiffrement WPA et non WPS, etc.);
Ne pas transmettre des données via des espaces de stockage collaboratifs ou publics (type « WeTransfer », ou via Internet) ;
Utiliser des moyens de communication chiffrés de bout en bout, protégés par des codes d’accès et, si nécessaire, envoyer les clés de déchiffrement à votre interlocuteur via un canal de communication distinct (exemple: code de connexion à une application transmis par SMS par exemple) ;
Ne télécharger et n’utiliser que des interfaces autorisées par l’entreprise ;
Sensibiliser les collaborateurs pour identifier et éviter les tentatives d’hameçonnage.

L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Exemple : il doit inciter ses collaborateurs à utiliser des systèmes de visioconférence de confiance (développés et hébergés dans un pays soumis au Règlement Général sur la Protection des Données), et poser des instructions claires pour les protéger (possibilité de ne pas démarrer la vidéo, option de floutage automatique de l’arrière-plan, etc.).

S’il peut être tentant pour l’employeur de vérifier que les membres du personnel sont pleinement dévoués à leurs tâches, de chez eux, il lui est formellement interdit de recourir à des méthodes de surveillance constante des salariés (mise en place d’une webcam ou d’un partage d’écran permanent, obligation de pointage régulier, consultation d’un historique de connexion détaillé…).

Pour mémoire, les dispositifs de contrôle ponctuels des employés ne peuvent être instaurés que s’ils sont proportionnés et adéquats au but poursuivi, après que les salariés ont été informés de leur installation, et avoir consulté les représentants du personnel à ce sujet.

Remarque : ces éventuelles méthodes de contrôle constituent des traitements de données devant figurer sur le registre des activités de traitement de l’organisme. Compte tenu du risque qu’ils présentent pour les droits des personnes concernées, ceux-ci doivent par ailleurs, pour la plupart, faire l’objet d’une Analyse d’Impact relative à la Protection des Données (AIPD).

A supposer d’ailleurs qu’il faille contrôler le travail effectué à distance par les salariés.

D’après Pôle Emploi, reprenant une étude réalisée par le cabinet Gartner, 55% des salariés en télétravail afficheraient un niveau d’efficacité élevé[1].

Conformité au-delà du télétravail

Puisqu’il suppose une prise de fonction à domicile, le télétravail est susceptible de brouiller la frontière entre la vie personnelle et la vie professionnelle des télétravailleurs.

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

Suppression des temps de transport, gain de flexibilité et meilleure efficacité : le télétravail présente des avantages indéniables tant pour les salariés que les entreprises. Mais, en distanciel, l’employeur perd une certaine maîtrise physique et juridique des terminaux de ses salariés.

S’il est mal encadré, le télétravail peut ainsi être à l’origine de nombreuses dérives, toutes préjudiciables à l’entreprise : failles de sécurité, violation des données, atteinte aux droits et libertés individuels des collaborateurs, etc. Outre les risques d’une condamnation administrative voire pénale de l’organisme en cas de manquement à ses obligations légales en matière de protection des données personnelles, les enjeux sont considérables pour la réputation de l’organisme, à l’heure où la conformité des sociétés participe de leur bonne image de marque.

De la rédaction d’une charte informatique contraignante à la formation de vos collaborateurs, en passant par un rappel des points de vigilance à retenir pour organiser le travail à distance de vos équipes : les professionnels de RGPD-Experts sont naturellement à votre disposition pour vous guider dans la mise en place d’un télétravail conforme.

Pour plus de renseignements, rendez-vous sur : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Pôle Emploi, « Télétravail : où en est-t-on », 28 déc. 2022, https://www.pole-emploi.org/accueil/actualites/2022/teletravail–ou-en-est-on.html?type=article#:~:text=Cette%20dynamique%20vertueuse%20renforce%20aussi,36%20%25%20des%20salari%C3%A9s%20en%20pr%C3%A9sentiel.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Durées de conservation : un rapide topo pour vous faire gagner du temps

dans Thématiques

……mais aussi de l’énergie, de l’argent, et en conformité !

Affaires « Doctissimo », « Obeeqo International », « Greffes des tribunaux de commerce »… ces dernières amendes prononcées par la CNIL [1] ont en commun de toutes sanctionner au moins un même manquement aux règles applicables en matière de protection des données : celles relatives aux durées de conservation.

Pour éviter d’être, vous aussi, un jour rappelé à l’ordre par la Commission, il est temps de faire le point sur ce sujet délicat.

RGPD-Experts vous explique tout ce qu’il faut savoir sur les durées de conservation, en un temps record !

Dans un premier temps : rappel du cadre légal

Le Règlement Général sur la Protection des Données Personnelles (RGPD) impose aux organismes de ne pas conserver éternellement les données personnelles qu’ils collectent.

La difficulté de ce texte réside toutefois dans son silence. En effet, le règlement européen ne détermine pas de délais fixes de conservation, qui sont laissés à l’appréciation des responsables de traitement.

Article 5(1)(e) RGPD : «Les données à caractère personnel doivent être : […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Cette souplesse de la législation a pour avantage d’être pragmatique. Elle permet aux organismes d’adapter ces durées de conservation à leurs besoins réels, en fonction de l’objectif poursuivi par le recueil des données personnelles.

Mais cette flexibilité n’est pas sans risque, puisqu’il appartiendra au responsable de traitement de justifier son choix en cas de contrôle, conformément au principe « d’accountability »[2]. Pas question pour la CNIL de les laisser faire la pluie et le beau temps !

Dans un deuxième temps : retour sur la notion de durée de conservation

La plupart du temps, il n’existe pas une, mais des durées de conservation. Et oui, plusieurs durées peuvent s’appliquer concomitamment selon :

Le type de données concernées

Exemple : une carte de fidélité contient plusieurs catégories de données personnelles, qui peuvent ne pas se voir appliquer les mêmes durées de conservation (numéro de carte de fidélité, identité de la personne, etc.).

L’étape du cycle de vie des données concernée

Une fois recueillie, une donnée personnelle peut être conservée sous différentes formes :

PHASE 1 : La base active

Lorsqu’elle sert encore, de manière courante et quotidienne, à accomplir la mission pour laquelle elle a été collectée.

Exemple : l’identité, les coordonnées et les informations sur le temps de travail d’un salarié, afin de lui adresser chaque mois sa fiche de paie.

En pratique, ces renseignements sont conservés de manière à être facilement accessibles dans l’environnement de travail des services ayant besoin d’en connaître, tels que dans des fichiers sécurisés sur des postes de travail.

Les données doivent en théorie être effacées dès qu’elles ont permis d’atteindre l’objectif initialement poursuivi. Ce n’est que par exception qu’elles peuvent être gardées plus longtemps par l’organisme.

PHASE 2 : L’archivage intermédiaire

Cet archivage intervient lorsque la donnée n’est plus utile pour poursuivre le but pour lequel elle avait été recueillie, mais qu’entre-temps sa conservation présente encore un intérêt pour le responsable de traitement (pour des raisons administratives ou lui permettre de répondre à ses obligations légales, notamment).

Exemple : les indications portées sur le registre unique du personnel doivent être conservées pendant 5 ans après le départ du salarié, conformément à l’art. R.1221-26 du Code du travail

RAPPEL: le responsable de traitement doit prendre les mesures nécessaires pour assurer la protection des données personnelles qu’il exploite. En archivage intermédiaire, il doit donc s’assurer que ces informations sont stockées de manière sécurisée et qu’elles ne peuvent être consultées que de manière ponctuelle, pour des motifs spécifiques et par des personnes spécialement habilitées.

PHASE 3 : éventuellement en archivage définitif

Exceptionnellement, certaines données peuvent être conservées sans limitation de durée alors même qu’elles ont déjà fait leur temps. Tel est le cas d’archives publiques, qui présentent un intérêt historique, scientifique ou statistique justifiant qu’elle ne fasse l’objet d’aucune destruction[3].

En matière de durées de conservation comme ailleurs, chaque chose en son temps donc !

Dans un dernier temps : comment déterminer la durée de conservation d’une donnée ?

S’il appartient au responsable de traitements de déterminer la durée de conservation qu’il souhaite appliquer aux données qu’il manipule, RGPD-Experts vous livre le raisonnement à tenir pour obtenir en temps utiles des durées convenables de conservation :

① Rechercher l’existence d’un texte ou d’une législation imposant un délai de conservation spécifique

Exemple : les images de vidéoprotection ne peuvent en principe pas être conservées plus d’un mois. (art. L252-3 du Code de la sécurité intérieure).

Les délais de prescription d’éventuelles actions en justice peuvent également être des indicateurs précieux pour déterminer les durées de conservations, lorsque les informations sont conservées pour se prémunir d’un éventuel contentieux ou se défendre en cas d’action en justice.

② À défaut, rechercher l’existence de normes ou d’une doctrine de la CNIL

En l’absence de textes légaux, il est aussi possible de se référer aux anciennes normes simplifiées ou autorisations uniques de la Commission, voire aux référentiels sectoriels qu’elle publie et à ses recommandations.

Exemple : la CNIL estime que les CV recueillis lors de recrutements peuvent être conservés pour une durée maximale de 2 ans avec l’accord de la personne, pour que l’organisme puisse recontacter les profils qui l’intéressent si besoin.

③ À défaut, seule la finalité de la collecte de la donnée personnelle permet de choisir un délai de conservation adéquat

De manière générale, plus les données sont sensibles, moins il est toléré de les conserver longtemps.

Soyez vigilant : la CNIL ne vérifie pas uniquement que le responsable de traitement a bien fixé des durées de conservation théoriques selon les catégories de données traitées. Elle contrôle aussi et surtout la mise en œuvre concrète de ces mesures, à savoir l’archivage progressif et sécurisé des données jusqu’à leur suppression totale, dans les délais impartis.

* * *

Depuis le temps que le RGPD est entré en vigueur, nous ne vous ferons pas l’offense de vous rappeler que bien d’autres règles encadrent la gestion des durées de conservation de vos données, et que celles-ci doivent entre autres :

Être portées à la connaissance des personnes concernées ;
Mentionnées dans le registre des activités de traitement de l’organisme et votre documentation de conformité ;
Appliquées même dans l’hypothèse d’une sous-traitance des données, etc.

Il n’est pas inutile de refaire de temps en temps un point sur ses connaissances ! Si vous avez négligé ces règles de base de la protection des données au point de ne plus être certain de votre conformité, notre équipe d’experts vous consacrera tout le temps nécessaire pour vous former et vous accompagner dans vos démarches. Pour plus d’informations, rendez-vous sur notre site Internet : https://www.rgpd-experts.com/

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Pour rappel, ce principe sous-tend que vous vous conformiez aux règles applicables en matière de protection des données personnelles, mais aussi que vous soyez en capacité de démontrer de votre conformité en toutes occasions.

[3] La gestion de ces archives est régie par des dispositions spécifiques, prévues en particulier par le Code du patrimoine.

Procédure de sanction de la CNIL

dans Actualités, Thématiques

Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?

La Commission Nationale de l’Informatique et des Libertés[1] (CNIL) publie aujourd’hui presque quotidiennement l’annonce d’une nouvelle sanction prise contre un responsable de traitement fautif. Parmi elles, les décisions résultant d’une procédure simplifiée se multiplient.

MAIS QUELLE EST DONC CETTE PROCÉDURE ?

Depuis près d’un an, la CNIL dispose d’un outil supplémentaire pour sanctionner les responsables de traitement non conformes : la procédure simplifiée. Et pour cause, afin de faire face à l’afflux des plaintes reçues, l’autorité de contrôle n’a pas eu d’autres choix que de réformer ses méthodes répressives[2].

Il devenait en effet essentiel de simplifier la procédure de contrôle originellement suivie par la CNIL (dite « ordinaire ») pour lui permettre d’investiguer sur TOUS les manquements à la législation en vigueur en matière de protection des données personnelles, aussi minimes puissent-ils paraître.

C’est dans ce cadre qu’a été adopté l’article 22-1 de la loi Informatique et Libertés du 06 janvier 1978[3]. Cette nouvelle disposition assouplit les obligations imposées au gendarme français de la protection des données pour enquêter et éventuellement poursuivre les organismes manquant à leurs obligations légales.

L’autorité de contrôle ne souhaitait pas concentrer son temps, son énergie et ses moyens financiers à enquêter seulement sur les dossiers « graves », au risque d’assurer l’impunité de tous les autres organismes blâmables.

EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?

Si l’ouverture d’une procédure ordinaire ou simplifiée trouve généralement leur source dans des motifs identiques (plaintes, coopération, auto-saisine de la CNIL…), les modalités dans lesquelles se déroulent ces contrôles diffèrent.

Des situations moins complexes

La procédure simplifiée a vocation à être mise en œuvre dans les cas ne présentant aucune difficulté juridique ou factuelle (aucun débat subsistant sur les questions de fait et de droit, décisions similaires déjà rendues par la CNIL, affaire relevant d’une jurisprudence établie, etc.). Le dossier doit être simple comme bonjour.

Il faut également que la gravité des faits soit relative, pour que la ou les réponse(s) appropriée(s) à ces violations puisse(nt) faire partie des trois mesures pouvant être ordonnées dans le cadre d’une procédure simplifiée.

Des sanctions limitées

Lors d’une procédure simplifiée, l’autorité régulatrice ne peut pas faire usage du large panel de sanctions dont elle dispose à l’occasion des procédures ordinaires. Elle ne peut prononcer que :

Un rappel à l’ordre ;
ET / OU une amende administrative d’un montant maximum de 20 000 € ;
AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.

Si ces sanctions ne peuvent pas être rendues publiques, contrairement à celles prononcées à l’issue d’une procédure ordinaire, la CNIL peut se déplacer sur site pour réaliser ses actes d’enquête. Difficile, dans ces conditions, de garder cette procédure simplifiée parfaitement secrète. Les responsables de traitement ne sont donc pas à l’abri que ces investigations portent malgré tout significativement atteinte à leur réputation…

« Procédure simplifiée » ne rime pas avec « simple contrôle » Les conséquences pour l’organisme ne sont pas à prendre à la légère ! La perte de confiance du public est économiquement plus risquée encore que les sanctions administratives encourues.

Des organes répressifs plus faciles à mobiliser

Pour initier la procédure simplifiée, la Présidente de la Commission doit saisir à cet effet le Président de la formation restreinte[4], qui désignera alors à son tour un agent de la CNIL chargé d’instruire le dossier.

Rien n’oblige la Présidente de la CNIL à recourir à une procédure simplifiée. Il s’agit d’une décision discrétionnaire de sa part, si le dossier apparaît pouvoir être examiné selon ces modalités. De la même manière, le Président de la formation restreinte peut à tout moment choisir de renvoyer l’affaire vers une procédure de sanction ordinaire.

L’agent de la CNIL désigné devra, après avoir éventuellement entendu le mis en cause ou procédé à des vérifications complémentaires, rédiger un rapport sur les manquements reprochés à l’organisme. Il doit, si des violations sont constatées lors de la clôture des investigations, proposer une ou plusieurs des trois mesures de sanctions possibles.

Contrairement à la procédure ordinaire, la procédure simplifiée est en principe écrite, ce qui implique qu’il ne se tient normalement aucune séance publique pour débattre des faits.

Le Président de la formation restreinte ou un membre de la CNIL désigné par lui statue purement et simplement, seul, sur les documents mis à sa disposition – là où l’ensemble des membres de la formation restreinte délibère sur le cas qui leur est soumis dans la procédure ordinaire. Un débat (non public) ne sera organisé que si l’organise mis en cause la demande. Ce dernier pourra alors présenter oralement ses observations, uniquement devant le rapporteur et le Président de la formation restreinte.

Des étapes allégées, mais des droits identiques

Cette simplification du déroulement de la procédure ne doit pas conduire à une réduction des prérogatives reconnues aux responsables de traitement mis en cause. Ceux-ci disposent notamment :

Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;
Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.
Du même droit, d’être assisté et/ou représenté par un avocat.

QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?

La CNIL a déclaré n’avoir eu recours qu’à quatre reprises à la procédure simplifiée en 2022[5]. Nous attirons votre attention sur le fait que ce chiffre relativement faible ne révèle pas un désintérêt de l’autorité régulatrice pour cette procédure, bien au contraire.

Pour rappel, la procédure simplifiée ne peut être mise en œuvre que depuis le mois d’avril 2022. Compte tenu des délais d’investigation et d’échanges d’observations, les premières décisions rendues dans ce cadre commencent donc seulement à être publiées. Rien qu’entre les mois de janvier et mars 2023, la CNIL a ainsi émis pas moins de sept nouvelles sanctions prises dans ce cadre.

QUAND	QUI	QUOI	POURQUOI
Le 23/01/2023	Société de conseil en systèmes et logiciels informatiques.	Amende de 5 000 € et injonction	Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Consentement (cookies) et d’information des personnes ; – Droit à l’effacement ; – Registre des activités de traitement ; – Mesures de sécurité.
Le 08/02/2023	Commune.	Amende de 5 000 € et injonction.	Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Désignation obligatoire d’un délégué à la protection des données.
Le 08/02/2023	Médecin généraliste.	Amende de 3 000 € et injonction.	Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Droit d’accès des personnes concernées.
Le 08/02/2023	Société exerçant une activité de détail d’habillement en magasin spécialisé	Amende de 10 000 € et injonction.	Défaut de coopération avec la CNIL.
Le 03/03/2023	Société exerçant une activité de sécurité privée.	Amende de 15 000 €.	Violation des règles applicables en matière de : – Minimisation des données ; – Information des personnes ; – Registre des activités de traitement.
Le 28/03/2023	Société de programmation informatique.	Amende de 20 000 €.	Violation des règles applicables en matière de : – Encadrement des relations entre le responsable de traitement et le sous-traitant ; – Mesures de sécurité.
Le 28/03/2023	Société de marketing.	Amende de 10 000 € et injonction.	Défaut de coopération avec la CNIL.
Le 28/03/2023	Société de marketing.	Amende de 10 000 € et injonction.	Défaut de coopération avec la CNIL.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Nous vous parlions déjà de la réforme des procédures répressives de la CNIL dans un précédent article sur le sujet, disponible à l’adresse suivante : https://www.rgpd-experts.com/cnil-nouvelles-sanctions-et-nouvelles-procedures/

[3] Issu de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, et de son décret d’application n°2022-517 du 08 avril 2022.

[4] La formation restreinte était habituellement l’organe répressif de la CNIL, jusqu’à l’adoption de la procédure simplifiée. Composée de 5 membres et d’un Président distinct de celui de la CNIL, elle demeure l’organe répressif compétent si l’affaire suit la procédure ordinaire.

[5] « Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022 », 31 janvier 2023 : https://www.cnil.fr/fr/procedure-de-sanction-simplifiee-la-cnil-presente-son-premier-bilan-2022

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Designs trompeurs

dans Actualités, Thématiques

Un réseau social distrayant, ça trompe énormément ?

Le 14 février 2023, le Comité européen de la Protection des Données[1] a adopté trois nouvelles lignes directrices, dont l’une vise à éviter l’utilisation de « designs trompeurs » sur les réseaux sociaux[2].

Le sujet vous intéresse, mais vous n’êtes pas certain d’avoir compris l’essentiel de ces 74 pages disponibles, pour l’heure, exclusivement en anglais ? RGPD-Experts a analysé pour vous les points majeurs à retenir de ces lignes directrices !

Ces préconisations ne s’arrêtent pas aux seuls réseaux sociaux, et sont bien évidemment transposables à toutes les autres plateformes (site Internet, applications mobiles, etc.).

Les « designs trompeurs » : késako ?

Le CEPD entend par l’expression « designs trompeurs » les techniques de conception d’une interface ayant pour objet ou pour effet d’influencer le comportement d’un utilisateur. Plus généralement, il s’agit de tous les procédés susceptibles d’inciter l’internaute à prendre des décisions non désirées ou inconscientes à son détriment – ou en faveur du réseau social – concernant la protection de ses données personnelles.

Ces méthodes sont multiples, et empêchent les internautes d’être véritablement acteurs de la protection de leurs données personnelles.

Les « designs trompeurs » : comment les reconnaître ?

Sans le savoir, nous sommes confrontés en permanence à ces designs pourtant prohibés. Le CEPD les classe selon différentes catégories :

Selon leurs effets sur le comportement de l’utilisateur : surcharge d’informations, utilisation des émotions, obstruction, maintien des personnes concernées dans une incertitude sur les pratiques du réseau et sur leurs droits en matière de protection des données, etc.
Selon leurs types : certains designs sont trompeurs dans leur contenu (formulation de phrase équivoque, déclarations, sorties de leur contexte, etc.), d’autres le sont dans leur forme (couleurs de l’interface, typographie, etc.).

EXEMPLE DE DESIGNS TROMPEURS

Effets sur les comportement de l’utilisateur	Moyen trompeur utilisé par le responsable de traitement	Types de designs trompeurs	Exemples
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.	L’incitation en continu : elle consiste à pousser l’internaute à céder aux demandes du réseau en lui répétant de donner plus de données ou à consentir à l’utilisation de ses données à des fins particulières.	Contenu trompeur	L’apparition permanente de « pop-up » en ce sens pendant la lecture d’un article.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.	L’excès d’options : le responsable de traitement offre tellement de possibilités à la personne concernée pour configurer ses préférences / faire ses choix pour gérer ses données que celle-ci finit par abandonner sa démarche.	Contenu trompeur	Ne pas proposer un bouton « tout refuser » lorsque l’utilisateur doit choisir pour quelles finalités il accepte ou non le dépôt de cookies sur son terminal. Las de devoir décocher les consentements donnés par défaut, finalité par finalité, celui-ci pourrait être tenté de finalement accepter la présélection faite pour gagner du temps.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.	Le labyrinthe : l’internaute peine à obtenir une information / faire une action, car il est contraint de passer par de nombreuses étapes pour y arriver, sans disposer d’une vision globale du schéma qu’il doit suivre pour y parvenir.	Interface trompeuse	Selon les droits qu’il veut exercer, l’internaute trouve les informations pertinentes à ce sujet dans la « foire aux questions » du site, puis sur son compte personnel, lesquels renvoient ensuite selon les cas à la politique de protection des données ou à un formulaire spécifique.
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.	Le « pilotage » émotionnel : des éléments visuels (couleurs, images, style) sont utilisés pour rendre positives certaines actions de l’internaute pourtant préjudiciables ou, à l’inverse, lui faire peur / le culpabiliser à tort pour l’encourager à agir dans le sens voulu par l’organisme.	Contenu trompeur	Un réseau social propose à l’internaute de partager sa localisation sous ces termes : « Hey toi ! Tu te sens seul aujourd’hui ? Envie de voir du monde ? Partage ta localisation et regarde si tes amis sont à proximité ! »
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.	La dissimulation de renseignements « à la vue de tous » : les informations sont bien communiquées, mais en réalité cachées aux utilisateurs grâce à diverses méthodes.	Interface trompeuse	Le lien permettant d’accéder à la politique de protection des données de l’organisme est accessible via un lien écrit en tout petit, de couleur jaune pâle sur une page de fond blanc.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.	Les longueurs excessives : le responsable de traitement impose à l’utilisateur un nombre important et inutile d’étapes pour activer certaines options, ou détaille inutilement certaines informations pour l’embrouiller.	Interface trompeuse	Un individu tente de se désabonner d’une newsletter. Afin de valider sa demande, l’organisme lui demande : 1) De cliquer sur un 1er lien, 2) Puis de renseigner son adresse mail, 3) De confirmer après son souhait grâce au courriel envoyé, 4) D’indiquer pourquoi il souhaite se désabonner, 5) D’évaluer enfin le service/commerçant
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.	Les actes trompeurs : la divergence entre l’information donnée et l’acte pour y parvenir est susceptible de duper l’utilisateur.	Interface trompeuse	Lors de la validation d’une commande sur Internet, le client a été conduit sans le savoir vers un site d’épargne en ligne de type Paypal, Lydia, etc. Pensant remplir un formulaire permettant la livraison de son achat, il est en réalité en train d’ouvrir un compte sur ces applications bancaires.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.	Les impasses : les utilisateurs ne peuvent techniquement pas finaliser leurs actions	Interface trompeuse	Lorsque l’internaute clique sur le lien destiné à retirer le consentement qu’il avait initialement donné à l’utilisation de ses données, il est redirigé vers une page inexistante.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.	Les informations contradictoires	Contenu trompeur	Il est indiqué tour à tour à l’internaute d’exercer ses droits directement auprès du Délégué à la protection des données, puis auprès d’une personne référente ayant d’autres coordonnées.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.	Les formulations ambiguës	Contenu trompeur	La politique de protection des données de l’organisme mentionne : « Nous utilisons vos données pour nous permettre de poursuivre nos différentes activités. Nous ne les conservons pas plus que le temps strictement nécessaire à cela ». Ces termes vagues et génériques ne permettent pas à l’internaute de comprendre l’utilisation réellement faite de ses données.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.	Les « ruptures » de langage	Contenu trompeur	Alors que toute l’application est en français, la politique de protection des données de l’organisme est en anglais.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.	Les interfaces incohérentes : la présentation de l’application ou du site n’est pas conforme aux attentes raisonnables de l’utilisateur, ce qui est source de confusion.	Contenu et interface trompeur	Les options de l’internaute pour configurer ses données sont toujours présentées de la moins protectrice à la plus protectrice, sauf à la dernière question. Dans ces conditions, le dernier choix de l’utilisateur pourrait être faussé s’il répond par réflexe selon la même logique que celle appliquée jusqu’alors.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.	Les décontextualisations : l’information cherchée par l’internaute ne peut pas être trouvée dans un endroit intuitif pour lui.	Interface trompeuse	Les options de configuration des préférences de l’internaute en matière de protection des données sont accessibles dans la section « mes éléments », ce que l’intitulé ne permet pas de deviner.
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.	Le détournement d’attention : il s’agit de mettre en concurrence les informations relatives à la protection des données avec d’autres informations, afin de dévier l’internaute de ces questions.	Interface trompeuse	Une bannière affiche la politique du réseau social en matière de cookies ainsi : « Nous avons créé pour vous la recette des meilleurs cookies jamais cuisinés. Pour connaître les ingrédients, cliquez sur ce lien : « xxx ». Notre site utilise lui aussi des cookies. Si vous voulez en savoir plus, cliquez ici : « yyy ». »
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.	Les suggestions trompeuses : ces procédés visent à instaurer une divergence entre ce que l’utilisateur veut et ce qu’il peut obtenir, afin de le décourager dans ses actions.	Interface trompeuse	Demander à l’utilisateur s’il veut rendre son profil : – Confidentiel – Accessible à ses amis seulement ; – Ou public ; Tout en pré cochant et mettant en évidence l’option la plus défavorable pour la protection de ses données personnelles., à savoir « public ».

Les « designs trompeurs » : pourquoi les éviter ?

Ces « designs trompeurs » violent plusieurs dispositions fondamentales du RGPD, et notamment :

Le principe de loyauté (art. 5(1)(a) du RGPD) : les responsables de traitement ne doivent pas traiter les données personnelles d’une manière inattendue, préjudiciable, fallacieuse ou discriminatoire pour les personnes concernées.
Le principe de minimisation des données (art. 5(1)(b) RGPD) : les responsables de traitement ne peuvent pas collecter autant d’informations sur les internautes qu’ils ne le veulent. Ils sont tenus de limiter le recueil de ces renseignements aux seules données personnelles adéquates et pertinentes au regard des objectifs poursuivis par la collecte de ces données.
Le principe de transparence (art. 5(1)(a) & 12 RGPD): les informations relatives aux pratiques et règles applicables en matière de protection des données personnelles doivent être formulées de façon concise, intelligible et facilement accessible pour les personnes concernées.
Les règles relatives à la gestion du consentement (art. 4 & 7 RGPD) : lorsque la base légale justifiant le traitement de données est celle du consentement de l’internaute, le responsable de traitement doit mettre en œuvre les mesures appropriées pour s’assurer que le consentement de ce dernier a été donné par un acte positif clair, et qu’il remplit certaines conditions de validité (consentement libre, spécifique, éclairé et univoque). Il appartient également au responsable de traitement de prévoir des dispositifs permettant à l’utilisateur de revenir aisément et à tout moment sur son accord initial.
Les règles relatives aux droits des personnes concernées (art. 12 à 23 RGPD) : le responsable de traitement est non seulement tenu d’informer les internautes des droits dont ils disposent sur leurs données personnelles, mais il doit aussi leur permettre de les exercer sans obstacle (droit d’être informé, droit d’accès, de rectification, à l’effacement de leurs données, etc.).

Le CEPD insiste sur le fait que ces règles doivent être respectées durant toute l’expérience de l’utilisateur sur la plateforme, de la création de son compte personnel sur le réseau social à sa clôture, en passant par la configuration ultérieure de son profil et l’exercice de ses droits.

Les responsables de traitement des pages Web et applications non conformes engagent donc leur responsabilité s’ils recourent à ce type de présentations insidieuses.

ATTENTION : au-delà du RGPD, ces « designs trompeurs » peuvent violer d’autres législations, notamment issues du droit de la consommation

Les « designs trompeurs » : comment les bannir ?

Ces dérives sont répandues, sans que cela ne soit nécessairement voulu par les responsables de traitement.

Nous vous rappelons que le RGPD les oblige pourtant à respecter le principe cardinal du « privacy by design and by default », c’est-à-dire de développer leur plateforme de telle manière qu’elle soit protectrice des données personnelles de leurs utilisateurs dans leur conception même, sans que l’internaute n’ait besoin de configurer l’interface en ce sens.

Cette règle est particulièrement vraie lorsque le site ou l’application vise un public de personnes vulnérables à cet égard (enfants, personnes âgées, etc.).

Pour éviter ces écueils, il convient d’avoir à l’esprit quelques bonnes pratiques. Nous vous recommandons notamment : – De prévoir plusieurs niveaux d’information (des renseignements « de base » aux plus approfondis), et d’utiliser des raccourcis / liens afin de rediriger les utilisateurs directement vers les informations qu’ils recherchent. – De rédiger vos informations avec des termes clairs et reflétant la réalité de votre activité (politique de protection des données, politique de cookies, etc.). Hiérarchisez vos propos et définissez les mots que vous employez. Utilisez des exemples pour expliquer vos pratiques, la façon dont les internautes peuvent gérer leurs données ou exercer leurs droits. Expliquez-leur aussi les conséquences de leurs actions. Bref : rendez la lecture de ces documents le plus facile et agréable possible ! – De concentrer en un seul endroit les options ouvertes aux utilisateurs pour gérer leurs préférences en matière de protection des données personnelles, et de les désigner avec des intitulés évidents (gestion du consentement, exercice des droits, etc.). – D’utiliser un code couleur ou une typologie permettant aux internautes de distinguer clairement les éléments relatifs à la protection de leurs données personnelles des autres sujets. – De mettre en évidence une seule et unique personne de contact à qui les internautes peuvent adresser leurs questions en matière de protection des données personnelles. – De notifier les internautes de tout changement de votre politique de protection de données. – Si vous permettez à vos utilisateurs d’utiliser vos services via plusieurs terminaux (ordinateurs, téléphone, tablette), faites en sorte que la configuration du compte de l’internaute enregistrée sur l’un de ses équipements soit prise en compte sur les autres.

Cette liste n’est évidemment pas exhaustive. N’oubliez pas que votre site Internet ou votre application est la première façade de votre conformité !

Notre équipe de professionnels est à vos côtés pour vous aider à respecter vos obligations légales. Rendez-vous sur notre site pour plus d’informations : https://www.rgpd-experts.com/

[1] Cet organe européen indépendant a été institué par le RGPD lui-même. Il a pour mission de contribuer à l’application cohérente de la législation européenne en matière de protection des données. Il publie régulièrement des lignes directrices pour aider les responsables de traitement à comprendre et respecter leurs obligations légales.

[2] CEPD, Lignes directrices 03/2022 du 14 février 2023, « Designs trompeurs sur les interfaces des réseaux sociaux : comment les reconnaître et les éviter » : https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

L.H

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Utilisation des drones par les forces de l’ordre

dans Actualités, News

Comment voir la vie d’en haut / vidéo ?

Afin de contrôler les manifestations organisées pour la fête du travail le 1^er mai dernier, certaines villes ont autorisé les forces de l’ordre à s’aider de drones. Malgré les recours déposés par plusieurs associations contre ces décisions, les tribunaux administratifs ont généralement validé ces dispositifs de surveillance. Tel a notamment été le cas des drones survolant les cortèges de la capitale.

Pas de quoi en faire tout un cinéma ? Peut-être… Si ce n’est que cette méthode (presque) inédite sera probablement monnaie courante dans les prochaines années. Selon le Préfet de police de Paris, les survols des manifestations n’étaient en effet qu’un « test » pour la gestion sécuritaire des Jeux Olympiques de Paris 2024[1].

FLASHBACK : la législation sur l’usage des drones par les forces de l’ordre

Durant le premier confinement, la Préfecture de police de Paris avait déjà utilisé des drones pour veiller au respect des règles instaurées dans le cadre de l’état d’urgence sanitaire. Le Conseil d’État avait toutefois suspendu cette décision, en ce qu’elle s’inscrivait en dehors de tout cadre juridique régissant la question[2].

La loi du 25 mai 2021 pour une sécurité globale préservant les libertés, récemment modifiée par la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, a permis de pallier ce vide juridique. Ces dispositions autorisent désormais certains services de maintien de l’ordre, de secours ou des douanes à recourir sous conditions à des « caméras installées sur des aéronefs, y compris sans personne à bord » – autrement dit des drones[3].

Durant ce processus législatif, la Commission Nationale de l’Informatique et des Libertés (CNIL) a eu l’occasion d’émettre plusieurs avis sur les modalités envisagées pour la mise en œuvre de ces appareils[4].

Mais l’application de ces textes était conditionnée à l’adoption d’un décret dédié, qui a finalement été adopté quelques semaines avant les manifestations du 1^er mai, le 19 avril 2023[5].

L’intégration de cette nouvelle technologie dans les outils à disposition des forces de l’ordre n’est pas anodine compte tenu des risques qu’elle présente pour les droits et libertés des personnes concernées. Nous ne nous faisons pas de films : même les plus hautes instances le reconnaissent !

PAUSE : les risques liés à l’utilisation des drones par les forces de l’ordre

Interrogé sur la constitutionnalité de la loi du 24 janvier 2022, le Conseil Constitutionnel a souligné l’importance d’assortir l’utilisation de ces drones de garanties destinées à sauvegarder le droit au respect de la vie privée des citoyens français. Dans sa décision du 20 janvier 2022[6], il a rappelé la puissance de nuisance de ces appareils : « les drones sont capables de capter, en tout lieu, et sans que leur présence soit détectée, des images d’un nombre très important de personnes et de suivre leurs déplacements dans un vaste périmètre. ».

Afin d’éviter toutes dérives, le législateur a essayé de circonscrire l’utilisation de ces drones[7], notamment en :

Limitant les cas dans lesquels il est possible de les utiliser (en particulier pour la prévention d’actes de terrorisme, le secours aux personnes, assurer la sécurité des rassemblements dans des lieux publics, etc.) ;
Limitant les fonctionnalités de ces drones (les caméras ne peuvent capter aucun son – vivre le cinéma muet ! Elles ne peuvent pas non plus être équipées de dispositifs de traitements automatisés permettant une reconnaissance faciale, et ne doivent en principe jamais être orientées vers l’intérieur des domiciles privés, etc.) ;
Limitant dans le temps (les survols ne peuvent pas être permanents) et dans l’espace le recours à ces drones (en obligeant au préalable la délimitation d’une zone géographique d’intervention) ;
Conditionnant l’utilisation de ces drones à l’obtention d’une autorisation écrite et motivée du préfet;
Limitant la durée de conservation des images prises (en principe 7 jours maximum et 48 heures lorsqu’elles permettent exceptionnellement de visualiser l’intérieur de résidences privées, sauf à être transmises dans ces délais dans le cadre d’un signalement à l’autorité judiciaire)

PLAY : les recommandations de la CNIL

Déjà avant la promulgation de la loi, le Conseil constitutionnel avait émis plusieurs réserves sur sa constitutionnalité.

Quelques semaines avant l’adoption définitive du décret d’application du 19 avril 2023, la CNIL avait rendu un nouvel avis sur ces dispositions[8]. Contrairement aux précédents, cet avis a cette fois la valeur d’un acte réglementaire unique, ce qui signifie que les administrations souhaitant utiliser ces caméras devront, au préalable, formellement s’engager auprès de la Commission à respecter le cadre légal.

La délibération de la CNIL conforte malheureusement les craintes de l’équipe de RGPD-Experts : force est de constater qu’un flou certain demeure sur les conditions précises et pratiques d’utilisation de ces drones…

Alors que l’autorité régulatrice rappelle fréquemment aux responsables de traitement de ne pas recourir à des descriptifs génériques dans leurs documentations de conformité, la législation en vigueur est ici loin d’être limpide :

Ces appareils ne peuvent être utilisés que si cela est « strictement nécessaire à l’exercice des missions concernées et adapté au regard des circonstances de chaque intervention». Bien que le Conseil constitutionnel ait exigé de réserver l’usage des drones à « des cas précis et d’une particulière gravité », cette expression nébuleuse ne permet pas de savoir concrètement dans quelles situations ces mesures peuvent être déployées …
Selon quels critères distinguer les cas dans lesquels une simple captation des images en direct suffira, de celles dans lesquels un enregistrement s’imposera ?
Quelles sont en réalité les «circonstances d’intervention» justifiant que les drones puissent continuer à filmer, à titre exceptionnel, alors même que l’intérieur de domiciles privés serait visible ?
Comment les forces de l’ordre envisagent-elles d’informer les personnes concernées qu’elles sont susceptibles d’être filmées, ainsi que de leurs droits en matière de protection des données personnelles ? La CNIL incite le gouvernement à clarifier l’information du public en général, mais surtout des potentielles cibles des caméras, par l’instauration de dispositifs sonores ou physiques dans les périmètres couverts par les drones.
Comment s’assurer du respect des mesures de sécurité destinées à garantir l’anonymisation et l’intégrité des données collectées (chiffrement, horodatage et assignation d’un « tatouage numérique » des flux de vidéo, sécurisation des sauvegardes, etc.) ?

Nous espérons que ces questions sans réponses ne seront pas à l’origine d’un scénario catastrophe pour l’avenir, digne d’un film de science-fiction !

Si les ministères ont indiqué à l’autorité de contrôle qu’ils ne pouvaient pas préciser dans le décret les critères objectifs sur lesquels ils se fonderont pour respecter ces règles, compte tenu de la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées, ils certifient que ces explications seront rapportées plus en détail dans les doctrines d’emploi qu’ils envisagent d’adresser aux services concernés. Doctrines qui n’auront, elles, aucune valeur contraignante…

Nous n’en sommes donc qu’aux prémices de cette longue saga sur les questions soulevées par l’utilisation des drones par la police et la gendarmerie nationale en matière de protection des données personnelles.

La pratique et la jurisprudence à venir devront probablement combler les silences de la loi…

*** * ***

Vous aviez loupé des étapes de cette évolution juridique et voudriez rembobiner l’histoire ? Vous n’arrivez pas à suivre le cadre juridique changeant en matière de protection des données ? Suivre vos démarches de conformité est pour vous une véritable péripétie ? Vos connaissances mériteraient un replay ?

Nous vous invitons à prendre contact avec nos services pour plus de renseignements sur nos offres de formation, de solutions de conformité ou d’assistance RGPD : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] FranceInfo, « Drones pendant les manifestations du 1^er mai », le 2 mai 2023 : https://www.francetvinfo.fr/faits-divers/police/drones-pendant-les-manifestations-du-1er-mai-une-sorte-de-test-en-vue-des-jeux-olympiques-de-2024-explique-le-prefet-de-police-de-paris_5802956.html

[2] Conseil d’État, juge des référés, 18 mai 2020, 440442.

[3] La loi vise également les dispositifs embarqués dans d’autres aéronefs (avions, hélicoptères, etc.). Pour rappel, des règles spécifiques encadrent l’utilisation des drones à titre privé. Elles diffèrent selon leur date de conception, leur catégorie et leur poids.

[4] Délibération n°2021-011 du 26 janvier 2021 et délibération n°2021-078 du 08 juillet 2021.

[5] Décret n°2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative.

[6] Conseil Constitutionnel, décision n°2021-834 du 20 janvier 2022, Communiqué de presse : https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2021-834-dc-du-20-janvier-2022-communique-de-presse

[7] Articles L242-1 et suivants du Code de la Sécurité intérieure.

[8] Délibération n°2023-027 du 16 mars 2023 portant avis sur un projet de décret portant application des articles L.242-1 et suivants du Code de la sécurité intérieure : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047465509

utilisation des applications récréatives

dans Actualités, News

Utilisation des applications récréatives par les particuliers et les fonctionnaires :

Des instructions à double vitesse ?

Une rapide annonce aux grandes conséquences – Le 24 mars 2023, le gouvernement a interdit « sans délai » à tous les fonctionnaires de télécharger et de faire usage d’applications dites « récréatives » sur leurs téléphones professionnels[1].

Aucune interface n’est nommément visée. Cette mesure concernerait en réalité toutes les applications :

De « gaming » (Candy Crush, 2048, jeux d’échecs, le bon vieux Tetris, etc.);
De « streaming » (Netflix ou Amazon Prime Vidéo par exemple);
De divertissement en général (ce qui cible entre autres les réseaux sociaux tels qu’Instagram ou Snapchat).

Un engouement pour les applications récréatives en perte de vitesse ? – Ces consignes s’inscrivent dans le prolongement de nombreux autres avertissements à travers le monde.

Le 23 février 2023, la Commission européenne avait déjà enjoint à tous ses collaborateurs de supprimer l’application de partage de vidéos « TikTok » non seulement de leurs smartphones professionnels, mais aussi de leurs téléphones personnels si des informations relatives à leur travail y transitent[2].

Plusieurs états avaient également déjà pris des mesures similaires au sein de leurs gouvernements et administrations. Emboîtant le pas du Canada ou du Royaume-Uni, les Pays-Bas et la Norvège ont eux aussi récemment banni l’emploi de l’application de vidéos « TikTok » au sein de leurs collectivités.

Les législations identiques se multiplient à un rythme effréné, et les textes restreignant l’usage de ces applications de divertissement sont votés plus vite que la musique !

D’autres pays envisagent des réactions bien plus drastiques. Aux États-Unis, la question de l’interdiction pure et simple de TikTok est actuellement aux cœurs des débats[3].

Est-ce à dire que ces positions gouvernementales sont susceptibles d’apporter des solutions pérennes en termes de protection des données personnelles ? C’est vite dit !

Pour toute justification, le ministre de la Transformation et de la Fonction publique Monsieur Stanislas GUERINI a indiqué que :

« les applications récréatives ne présentent pas les niveaux de cybersécurité et de protection des données suffisant pour être déployées sur les équipements d’administrations. Ces applications peuvent donc constituer un risque sur la protection des données de ces administrations et de leurs agents publics. » .

Au-delà de la compromission des données personnelles des fonctionnaires, c’est en réalité des soupçons d’espionnage par Pékin via ces interfaces qui auraient incité le gouvernement à agir au plus vite.

Si TikTok a reconnu que ses salariés pouvaient accéder à distance depuis l’étranger aux données personnelles de ses utilisateurs, la maison mère de l’application « ByteDance » réfute les accusations portées à son encontre, selon lesquelles elle transmettrait ces informations au gouvernement chinois[4].

Des prises de position vite fait…bien fait ? – Si nos dirigeants sont inquiets pour eux, n’y a-t-il pas de raisons que les particuliers s’alarment eux aussi ? N’y a-t-il pas deux poids deux mesures dans ces instructions ?

La CNIL[5] s’est déjà penchée sur la conformité de certaines de ces applications récréatives. Le réseau social « TikTok » a ainsi fait l’objet de plusieurs condamnations, dont nous vous avions déjà parlé[6].

Mais ces sanctions visent des manquements précis et circonstanciés du Règlement Général sur la Protection des Données (RGPD), alors que les violations des règles applicables en la matière par ces différentes interfaces semblent multiples, et surtout structurelles.

Alors que l’article 58(2)(f) du RGPD prévoit la possibilité pour les autorités de contrôle d’imposer la limitation temporaire ou définitive voire l’interdiction d’un traitement de données, les décisions prises par les autorités régulatrices européennes sont chaque fois limitées, si ce n’est symbolique par rapport aux chiffres d’affaires réalisés par ces plateformes et le nombre de personnes concernées par le traitement de leurs données personnelles en Europe.

Au-delà de ces sanctions radicales, les autorités de contrôle disposent de tout un panel de mesures correctrices destinées à sécuriser les données des internautes. Si les données des fonctionnaires sont menacées, celles des particuliers le sont sans nul doute tout autant…

La recherche d’un équilibre entre liberté d’expression et protection des données personnelles suggère l’instauration d’un temps de réflexion approfondi sur les enjeux générés par ces applications, et non de régler ces questions en deux temps, trois mouvements.

Si les personnes concernées peuvent en effet décider de continuer à utiliser ces applications malgré le risque qu’elles induisent pour le traitement de leurs données personnelles, c’est notamment à condition que leur consentement ait été donné en toute connaissance de cause.

Or, il semblerait qu’il reste encore des flous à éclaircir sur ce sujet…

***

Chez RGPD-Experts, nous considérons que votre conformité est une question sérieuse à examiner attentivement, pour adapter au maximum les mesures applicables en matière de protection des données à la réalité de votre activité. Comme dit le proverbe : « Qui va vite, va loin ; qui va lentement va mieux » !

Notre équipe de professionnels vous accompagne pour accomplir avec vous un travail de fond, visant à identifier vos obligations légales selon les missions poursuivies par votre organisme, et à trouver les réponses pertinentes à y apporter. Ce travail d’analyse sera la clé de votre conformité, car cela bien connut : rien ne sert de courir, il faut partir à point.

L.H

[1] Communiqué de presse du 24 mars 2023 du Ministre de la Transformation et de la fonction publique : https://www.transformation.gouv.fr/files/presse/cp_interdiction_applications_recreatives_telephone_pro_agents.pdf

[2] Article d’actualité de Représentation en France du 23, février 2023 : https://france.representation.ec.europa.eu/informations/la-commission-renforce-sa-cybersecurite-et-suspend-lutilisation-de-tiktok-sur-les-appareils-de-son-2023-02-23_fr

[3] « Tiktok menacé d’interdiction aux États-Unis », Le Monde, 23 mars 2023 : https://www.lemonde.fr/economie/article/2023/03/23/tiktok-menace-d-interdiction-aux-etats-unis-veut-jouer-l-opinion-contre-les-gouvernements-occidentaux_6166709_3234.html

[4] Nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/transfer-de-donnees/

[5] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[6] Notamment à travers le post suivant : https://www.rgpd-experts.com/mauvaise-tactique-de-tiktok/

RGPD or not RGPD

dans Actualités, News

Le RGPD : plus trop la tasse de thé des Anglais ?

En sortant de l’Union européenne (UE), le Royaume-Uni s’est soustrait du champ d’application de nombreuses législations européennes. Parmi elles figure notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de « Règlement Général sur la Protection des Données » (RGPD).

Débriefing : petits rappels historiques et légaux – Le Royaume-Uni s’est officiellement retiré de l’UE le 31 janvier 2020. S’est alors ouverte une période de transition d’un an, durant laquelle le pays est provisoirement resté soumis aux règles communautaires.

À partir du 31 décembre 2020, le sort réservé aux données personnelles traitées au Royaume-Uni ne devait donc en principe plus être régi par le RGPD en tant que tel. En effet, ce texte étant un règlement et non une directive, il a été directement applicable dans les États membres de l’UE dès son entrée en vigueur, sans que ceux-ci aient eu besoin d’en retranscrire le contenu dans leurs propres lois nationales[1].

Pour surmonter cette difficulté, qui aurait porté préjudice à la fois aux citoyens britanniques et aux rapports commerciaux qu’entretient le Royaume-Uni avec le reste des pays de l’Union, le gouvernement britannique a promulgué une série de lois destinées à transposer la quasi-totalité du RGPD dans son ordre juridique.

Le feed-back de la Commission européenne – La Commission européenne a considéré que le nouveau droit positif du Royaume-Uni assurait bien un niveau de protection des données personnelles équivalent à celui garanti par le RGPD.

L’institution européenne a ainsi adopté une décision d’adéquation le 28 juin 2021[2]. Celle-ci a notamment pour effet de dispenser les responsables de traitement soumis au RGPD européen d’avoir à accomplir des formalités supplémentaires avant de transférer des données personnelles vers le Royaume-Uni.

Cette décision vaut en théorie pour une durée de quatre années, sauf décision contraire de la Commission européenne. L’institution a toutefois précisé qu’elle surveillerait attentivement l’évolution de la législation et les pratiques britanniques à ce sujet, et qu’elle se réservait le droit de suspendre, abroger ou modifier sa décision d’adéquation s’il était démontré que le Royaume-Uni n’assurait plus un niveau de protection adéquat des données personnelles.

Mais, bien qu’averti des conséquences d’un éventuel « retour en arrière » de sa part, le Royaume-Uni n’est-il pas en train de filer à l’anglaise ?

Le récent bad buzz du gouvernement britannique – Le 8 mars 2023, la secrétaire d’État anglaise à la Science, à l’Innovation et à la Technologie Madame Michelle DONELAN a présenté au Parlement un récent projet de loi, qui pourrait bien changer la donne[3]. Le texte prévoit un aménagement des dispositions actuellement en vigueur, jugées trop contraignantes pour les entreprises. Brandissant le fait que cette réforme permettrait de réaliser près de 4 milliards de livres d’économies en 10 ans, il y serait question de :

1 – Assouplir les règles sur l’exploitation des données personnelles dans le cadre de la recherche scientifique

L’article 6(1)(b) RGPD définit le principe de limitation des finalités, c’est-à-dire que les données à caractère personnel doivent être : […] « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales ».

Le projet de loi anglais vise à étendre la définition de la « recherche scientifique » pour y inclure les activités de recherche dans le secteur commercial. L’idée serait que les entreprises puissent elles aussi réutiliser des données qu’elles auraient préalablement collectées auprès de leurs clients et partenaires pour leurs propres activités de recherche et développement.

2 – Réduire les formalités administratives incombant aux responsables de traite

Sous l’empire du RGPD, tout responsable de traitement est tenu à un principe « d’accountability ». Il s’agit pour lui non seulement de devoir respecter ses obligations légales en matière de protection des données, mais d’être en mesure de démontrer à chaque instant de sa conformité (art. 5(2) du RGPD).

Cette mesure est particulièrement protectrice des personnes concernées qui, en cas de désaccord, n’ont pas à apporter la preuve du manquement de l’organisme ; preuve difficilement accessible pour elles puisque ces justificatifs sont précisément souvent détenus par le responsable de traitement.

Estimant cette exigence trop astreignante pour les responsables de traitement, le gouvernement britannique souhaite en réduire considérablement le champ d’application. Il est d’avis que seuls les organismes poursuivant des activités susceptibles de présenter un risque pour les droits et libertés des personnes concernées devraient désormais tenir une documentation de leur conformité.

Pas cool pour les citoyens dont les informations personnelles sont manipulées au quotidien, mais de façon trop insignifiante aux yeux du gouvernement du 10 Downing Street pour s’assurer du degré de conformité du responsable de traitement (démarchage et prospection, profilage en ligne, renseignements RH des entreprises, etc.).

Le texte prévoit également un allègement des règles de consentement des personnes concernées pour le dépôt de cookies[4].

3 – Encourager les transferts de données à l’international…

…En exemptant, entre autres, les responsables de traitement de vérifier que le destinataire étranger continue de respecter ses obligations en matière de protection des données, après leur contrôle initial.

OH MY GOD ! Autant de rétropédalages ?…

Le projet de loi émet l’idée de créer deux cadres règlementaires distincts. Les groupes britanniques désirant poursuivre leurs activités dans l’Union européenne seraient, malgré tout, encore obligés de respecter le RGPD[5]…

Mais nous en savons encore peu pour l’instant, cette réforme n’ayant curieusement pas fait la une des tabloïds…

Mauvais timing pour une telle annonce – Si le gouvernement britannique a réaffirmé dans son projet de loi son souhait de maintenir un haut niveau de protection aux données personnelles manipulées sur son territoire, il est permis d’en douter.

Cette évolution du cadre légal va nécessairement être analysée de près par la Commission européenne, puisqu’elle risque d’amoindrir le niveau de protection accordée aux éventuelles données personnelles de résidents européens transférées vers le Royaume-Uni…

D’autant que le gouvernement britannique a récemment signé avec les États-Unis un accord bilatéral autorisant les autorités de chaque pays à réclamer aux organismes de l’autre la communication des données personnelles qu’ils auraient en leur possession, lors d’investigations sur certains crimes relevant du grand banditisme ou du terrorisme. Cette entente, conclue le 3 octobre 2022, intervient dans le cadre du CLOUD ACT américain[6] ^{& [7]} . Elle pourrait ainsi donner un accès direct aux autorités américaines à des données personnelles de résidents européens envoyées de prime abord « en toute confiance » au Royaume-Uni…

En dehors de toute révision anticipée de la décision d’adéquation rendue par l’Institution européenne, celle-ci expire dans tous les cas le 27 juin 2025. Sa prorogation éventuelle sera l’occasion d’un examen des garanties offertes par le Royaume-Uni sur cette problématique.

Considérera-t-elle que tout est « Okay »

Nous vous rappelons qu’en l’absence de décision d’adéquation, les responsables de traitement soumis au RGPD ne pourront plus transférer de données personnelles vers le Royaume-Uni sans avoir pris des garanties appropriées pour s’assurer de leur sécurité là-bas. L’article 46 du RGPD dresse la « check-list » de ces garanties, qui peuvent être : un arrangement administratif contraignant et exécutoires, pour les organismes publics (1) ; des règles d’entreprise contraignantes (2) ; des clauses types de protection des données, soit spécifiques ou approuvées par la Commission européenne (3) ; voire l’engagement du destinataire de suivre un code de conduite approuvé (4) ou le cahier des charges d’une certification qui lui aurait été délivrée (5).

*** * ***

Contrairement à ce qu’affirme le gouvernement britannique, ces obligations légales sont un véritable atout pour les organismes, à l’heure où les personnes concernées ont davantage d’attente sur la manière dont sont recueillies et exploitées leurs informations personnelles.

Ce n’est un scoop pour personne : loin d’être un coût supplémentaire pour les sociétés, leurs démarches de conformité sont désormais largement valorisables et valorisées sur le marché.

Perdus dans l’identification et la gestion des différents pans de votre conformité ?

Notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.

Nous vous invitons à prendre contact les services de RGPD-Experts via notre formulaire :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Cette applicabilité immédiate des règlements européens découle de l’effet « direct » qui leur est reconnu.

[2] La décision d’exécution de la Commission du 28 juin 2021 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni est disponible dans son intégralité à l’adresse suivante : https://commission.europa.eu/system/files/2021-06/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_fr_0.pdf

[3] Tel qu’indiqué dans un communiqué du gouvernement britannique accessible en ligne : https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr

[4] https://www.usine-digitale.fr/article/exit-le-rgpd-le-royaume-uni-assouplit-ses-regles-sur-la-protection-des-donnees.N2109356

[5] Ibid.

[6] https://www.justice.gov/opa/pr/landmark-us-uk-data-access-agreement-enters-force

[7] Pour en savoir plus sur le Cloud Act américain et ses conséquences sur votre conformité, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/google-analytics/

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Transferts de Données en Péril : L’Énième Tempête sur le Data Privacy Framework UE-États-Unis

Introduction

Le Data Privacy Framework : Un Pont Fragile Entre Deux Rives

Incertaines et Exposées : Les Entreprises Européennes Face aux Risques Juridiques

Jeu d’Influences : Quand les Pressions Américaines S’Intensifient

Naviguer en Eaux Troubles : Stratégies pour les Entreprises Européennes

L’Aube d’une Autonomie Numérique : Saisir l’Opportunité de l’Innovation

Conclusion

Le RGPD prévaut sur le secret des affaires, selon la CJUE

Contexte du litige

Entre secret des affaires et RGPD : cadre juridique

1. Article 15, paragraphe 1, point h) du RGPD

2. Article 22 du RGPD

3. Directive (UE) 2016/943 sur la protection du secret des affaires

4. Droit autrichien (Datenschutzgesetz)

Questions posées à la CJUE

Analyse de la CJUE

1. Primauté du RGPD sur le secret des affaires

2. Rôle des juridictions nationales

3. Définition des « informations utiles »

4. Droit à la vérification et à la contestation

Implications de la décision

1. Pour les entreprises

2. Pour les personnes concernées

3. Pour les autorités de protection des données

Conclusion

Points clés à retenir

Recommandations pour les entreprises

Perspectives futures

Ressources supplémentaires

Conclusion finale

Euro numérique : les recommandations de l’EDPB et l’EDPS

RGPD-Experts vous livre son analyse

Contexte et rétrospective des 3 dernières années

Constats et recommandations

RGPD-Experts vous souhaite une belle rentrée !

Conformité lors de l’instauration du télétravail

Conformité pendant le télétravail

L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Conformité au-delà du télétravail

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

Dans un premier temps : rappel du cadre légal

Dans un deuxième temps : retour sur la notion de durée de conservation

Dans un dernier temps : comment déterminer la durée de conservation d’une donnée ?

* * *

Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?

MAIS QUELLE EST DONC CETTE PROCÉDURE ?

EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?

Des situations moins complexes

Des sanctions limitées

Un rappel à l’ordre ;

ET / OU une amende administrative d’un montant maximum de 20 000 € ;

AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.

Des organes répressifs plus faciles à mobiliser

Des étapes allégées, mais des droits identiques

Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;

Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.

Du même droit, d’être assisté et/ou représenté par un avocat.

QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?

Un réseau social distrayant, ça trompe énormément ?

Les « designs trompeurs » : késako ?

Les « designs trompeurs » : comment les reconnaître ?

EXEMPLE DE DESIGNS TROMPEURS

Les « designs trompeurs » : pourquoi les éviter ?

Les « designs trompeurs » : comment les bannir ?

Comment voir la vie d’en haut / vidéo ?

* * *

Utilisation des applications récréatives par les particuliers et les fonctionnaires :

Des instructions à double vitesse ?

***

Le RGPD : plus trop la tasse de thé des Anglais ?

* * *

Des Experts à votre service

RGPD Experts

Contacts et Liens Utiles

*** * ***

*** * ***