tout sur les violations de données

dans

Identification, anticipation, réaction :

La gestion des violations de données

n’aura plus de secret pour vous !

 

En mars 2022, l’Assurance Maladie annonçait avoir été victime d’une cyberattaque ayant entraîné une violation des informations médicales de plus de 500 000 Français [1]. En novembre 2022, c’était au tour de la plateforme de musique en streaming « Deezer » de révéler la fuite des données de ses utilisateurs, qu’elle avait confiées à l’un de ses partenaires commerciaux[2].

Nous ne trahissons aucun secret en rappelant que les données personnelles ont désormais une valeur économique importante dans notre société numérique. Convoités par des hackers souhaitant revendre ces renseignements aux plus offrants, les organismes sont de plus en plus nombreux à révéler ces intrusions survenues dans leurs systèmes d’information.

Mais les piratages informatiques ne sont pas les seules hypothèses de violations de données, loin de là.

Comment prévenir, identifier ou réagir face à de telles violations de données ? RGPD-Experts vous livre tous ses secrets[3] !

 

Qu’est-ce qu’une violation de données ?

D’après l’article 4(12) du Règlement Général sur la Protection des Données (RGPD), il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé » à ces données.

Cette formulation recouvre en fait tous les incidents de sécurité ayant pour conséquence de compromettre :

A) L’intégrité des données personnelles (elles sont ou ont été modifiées par des personnes non autorisées)

ET/OU

B) Leur confidentialité (d’autres personnes que celles spécifiquement habilitées à en connaître ont pu y avoir accès)

Exemple: un collaborateur envoie par mégarde le dossier d’un patient à un autre, en se trompant d’adresse e-mail.

ET/OU

C) Leur disponibilité (elles n’ont plus été accessibles ou exploitables selon les formes et modalités prévues, temporairement ou définitivement).

 Exemple: impossibilité pour un client de consulter son compte personnel sur le site d’une entreprise.

Toute faille de sécurité ne constitue donc pas nécessairement une violation de données ! Tant que la vulnérabilité n’est pas exploitée ou ne compromet pas de données à caractère personnel, il ne s’agit nullement de violation.

Exemple: l’intervention du personnel d’entretien d’une société en dehors des heures d’ouverture des bureaux constitue bien une vulnérabilité pour les systèmes d’information de l’organisme, mais pas une violation de données si les données n’ont pas pu être compromises (notamment si elles n’ont pas pu être consultées, car stockées dans des armoires fermées à clé).

Quelles sont les obligations des organismes en la matière ?

Qui ? Tous les organismes sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour prévenir la survenance de violations de données.

En revanche, en cas de violation de donnée avérée, seuls les responsables de traitement doivent gérer cette situation. C’est à eux qu’il appartient de prendre les mesures nécessaires pour remédier à la violation, en atténuer les éventuelles conséquences négatives et éventuellement notifier la CNIL[4], les personnes concernées ou d’autres autorités si cela s’impose.

Cela ne signifie pas que les sous-traitants sont exempts de tous devoirs. En cas de violation de données, ils doivent impérativement en notifier le responsable de traitement dans les meilleurs délais après en avoir pris connaissance (1) et aider ce dernier à respecter ses propres devoirs (2), notamment en lui transmettant l’ensemble des informations dont il a connaissance. Pas question d’emporter avec lui des secrets dans la tombe !

Quoi ? En plus de tout mettre en œuvre pour éviter la survenance d’une violation de données, le responsable de traitement est tenu :

De tenir un registre des violations de données

Les textes encadrent d’ailleurs non seulement l’existence même de cette documentation, mais aussi son contenu. Certaines mentions doivent obligatoirement y apparaître (la nature de la violation, les catégories et le nombre approximatif de personnes concernées / fichiers concernées, les conséquences probables de la violation, les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation, etc.).

Vous ne pouvez pas gérer ces incidents dans le secret: tous doivent être renseignés dans ce registre.

 

De notifier éventuellement la violation…

(A) À la CNIL

Le responsable de traitement n’est tenu de notifier la violation de données à la CNIL que si celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Autrement dit, il n’est pas obligé d’en informer l’autorité de contrôle si l’incident constitue une simple faille de sécurité et non une violation de données, si la violation ne concerne pas de données à caractère personnel (ex. : informations sur une personne morale), ou encore s’il ne fait courir aucun risque pour les droits et libertés des personnes concernées (ex. : la perte par un collaborateur de l’entreprise de son ordinateur professionnel, dont l’ouverture est protégée par un mot de passe « fort » et dont le disque dur est chiffré).

Cette notification de la CNIL doit intervenir dans les meilleurs délais, et au plus tard 72 heures à compter du moment où le responsable de traitement a connaissance de la violation de données, par le biais d’un téléservice sécurisé dédié disponible à l’adresse suivante : https://notifications.cnil.fr/notifications/index .

Là encore, la législation prévoit expressément les renseignements à transmettre à la Commission[5].

Au-delà de ce délai, le responsable de traitement devra, en plus de son signalement, justifier à la CNIL les motifs du retard de sa notification. Pas sûr que ces secrets lui plaisent !

ATTENTION – La CNIL aura alors un rôle d’accompagnement et d’encadrement (recommandations, vérification du registre interne des violations de données, vérification de la nécessité d’informer les personnes concernées voire injonction de le faire…), mais pas seulement ! La mission générale de contrôle dont elle est investie n’est jamais bien loin. Cette notification est susceptible de constituer le point de départ d’un contrôle global de votre conformité par la CNIL, au-delà de la seule violation de donnée.

D’où l’importance d’avoir étudié au préalable les circonstances dans lesquelles vous devriez notifier ou non la CNIL

Si vous l’en avisez alors que cela n’était pas nécessaire, vous risquez d’attirer inutilement l’attention de la Commission sur votre organisme. Celle-ci pourrait ensuite percer les secrets de certaines de vos pratiques inavouables en matière de protection des données à caractère personnel… Mais si vous ne le faites pas, alors que cela s’imposait, cela constitue une violation du RGPD, punissable tant sur le plan administratif que pénal [6].

Le sous-traitant qui ne notifierait pas cette violation au responsable de traitement encourt les mêmes peines.

(B) Aux personnes concernées

Le responsable de traitement n’est tenu de notifier la violation de données aux personnes concernées que si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Eux aussi ont le droit de savoir que leur jardin secret ne l’est plus tant !

Cette notification doit s’effectuer :

  • Dans les meilleurs délais après que le responsable de traitement en ait pris connaissance ;
  • Avec la transmission de certains renseignements expressément prévus par les textes ; En des termes clairs simples et précis ;
  • Selon le mode de communication de son choix. La législation n’impose pas les modalités de cette communication. Le responsable de traitement doit utiliser les coordonnées (postale, téléphonique, courriel) ou autres éléments dont il dispose (pseudonyme, numéro d’identification interne ou en ligne, « chat »…) pour joindre individuellement chaque personne concernée.

Par exception, le responsable de traitement n’est pas tenu d’informer les personnes concernées si :

 Il avait pris en amont ou après la violation de données des mesures garantissant que le risque élevé pour les droits et libertés des personnes ne se concrétisera pas.

Exemple : les données personnelles affectées sont incompréhensibles pour toute personne non autorisée à y avoir accès, notamment par la mise en place de codes secrets / mesure de chiffrement conforme à l’état de l’art et dont la clé n’a pas été compromise.

→ La communication exigerait des efforts disproportionnés pour le responsable de traitement

Exemple : le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées.

ATTENTION : dans cette situation, le responsable de traitement devra informer les victimes par une communication publique, ou toute autre mesure aussi efficace.

(C) Aux autres autorités de régulation, si la législation le prévoit

Il convient donc de vous renseigner, selon la nature des activités menées par votre structure, si vous êtes tenu d’alerter d’autres autorités spécifiques que la CNIL de cette violation de données (l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour les « opérateurs d’importance vitale » ; les Agences Régionales de Santé (ARS) et du groupement d’intérêt public en charge du développement des systèmes d’information de santé partagés pour les établissements de santé, etc.).

En résumé 

Ce n’est pas un secret de polichinelle : plus vous anticiperez la survenance d’une violation de données, plus vous serez à même de gérer sereinement cette situation pourtant anxiogène !

Nous ne pouvons que vous inciter à mettre en place, dans votre organisme, une procédure permettant d’encadrer ces différentes étapes et s’inscrivant dans la documentation[7] de votre conformité. Les points à étudier sont nombreux, et comprennent notamment, sans que cette liste soit exhaustive :

1)      La mise en place de dispositifs de détection des incidents de sécurité ;

2)     La création d’un registre des incidents de sécurité ;

3)     L’instauration de mesures d’évaluation de la certitude et du niveau de gravité de ces incidents ;

·      Constituent-ils seulement une faille de sécurité ? Une violation de données ? Une violation ne présentant aucun risque / un risque / un risque élevé pour les droits et libertés des personnes concernées ?

·      La détermination de la liste des critères à prendre en compte pour évaluer au cas par cas la gravité du risque pour les droits et libertés des personnes concernées : type de violation, sensibilité des données personnelles visées, nombres de personnes concernées et facilité à les identifier, durée de la violation dans le temps, conséquences possibles de la violation à leur égard, mesures de sécurité préexistantes, etc.

4)     Les réflexes à adopter en cas de violation de données avérée. Compte tenu des délais courts dans lesquels vous êtes tenus d’agir, il est essentiel de prévoir par écrit :

·         Des instructions précises pour vos sous-traitants face à une telle situation, dans vos contrats de sous-traitance ;

·         Identifier le personnel compétent (en interne, mais aussi les acteurs externes susceptibles d’être impliqués) ;

·         Organiser le signalement interne de l’incident de sécurité ;

·         Mener les investigations nécessaires pour qualifier l’incident (cf. étape 2) et pour établir le contexte de la violation de données (circonstances, ampleur, gravité) ;

·         Documenter l’incident ;

·         Prévoir les réponses à apporter à l’incident de sécurité (mesures possibles de résolution de l’incident ; éventuelle notification de la violation de données à l’autorité de contrôle /aux personnes concernées / autres autorités de régulation préalablement identifiées ; signalement possible des forces de l’ordre /autorités judiciaires compétentes / assurance, etc.).

5)     Tirer les conséquences de l’incident de sécurité pour éviter qu’il ne se reproduise à l’avenir.

Le secret d’une bonne procédure réside dans son anticipation !

Tout ce qui aura été organisé en amont vous fera gagner un temps précieux en aval. Notre équipe de professionnels est à votre disposition pour vous accompagner dans cette démarche.

Mais surtout, dans notre souci de simplifier chaque jour un peu plus vos actions de conformité, RGPD-Experts a développé Register +, un logiciel de suivi de votre conformité facile d’utilisation et entièrement sécurisé. Cette solution vous permet de centraliser sur une seule et unique plateforme l’ensemble de votre documentation RGPD. Notre outil comprend évidemment un accompagnement à la constitution de votre registre des violations et failles de sécurité, mais pas que !

 

 

Nous vous invitons à vous rapprocher de notre équipe pour tester notre solution et en savoir plus sur ces fonctionnalités :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] https://www.cybermalveillance.gouv.fr/diagnostic/4008fd34-144b-4f88-8edf-8571c5da593e

[2] https://support.deezer.com/hc/fr/articles/7726141292317-Violation-de-Donn%C3%A9es-par-un-Tiers

[3] Ou presque ! Compte tenu des subtilités de cette problématique et pour des raisons matérielles, cet article constitue une présentation générale du cadre légal applicable aux hypothèses de violation de données, mais n’est nullement exhaustif.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[5]  Si le responsable de traitement n’a pas encore à sa disposition toutes ces informations, les textes l’autorisent à notifier l’autorité de contrôle au fur et à mesure de ses propres investigations, c’est-à-dire de façon échelonnée en fonction des éléments qu’il découvrirait encore après le délai de 72 heures.

[6] En dehors des sanctions prévues par le RGPD, le fait pour un responsable de traitement de ne pas procéder à la notification d’une violation de données est puni de 5 ans d’emprisonnement et 300 000 € d’amende, conformément à l’article 226-17-1 du Code pénal.

[7] Conformément au principe d’ « accountability » prévu à l’article 5(2) du RGPD, le responsable de traitement est tenu non seulement de respecter la législation en vigueur en matière de protection des données, mais aussi d’être capable de démontrer à tout moment et par tout moyen sa conformité.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Transferts vers les USA

dans ,

L’EDPB se félicite des améliorations apportées par le cadre UE-États-Unis sur la protection des données, mais des inquiétudes subsistent

 

Après les remarques de la commission des libertés civiles de la justice et des affaires intérieures du Parlement européen Lien, c’est au tour de l’EDPB de faire le point sur le projet d’adéquation des USA.

Bruxelles, 28 février

L’EDPB a adopté son avis sur le projet de décision d’adéquation concernant le cadre de protection des données à caractère personnel entre l’UE et les États-Unis. L’EDPB accueille favorablement les améliorations substantielles telles que l’introduction d’exigences reflétant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement américains et le nouveau mécanisme de recours pour les personnes concernées de l’UE.

En même temps, il exprime des préoccupations et demande des clarifications sur plusieurs points. Ceux-ci concernent, en particulier, certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire de données en masse et le fonctionnement pratique du mécanisme de recours. L’EDPB apprécierait que non seulement l’entrée en vigueur mais aussi l’adoption de la décision soient conditionnées à l’adoption de politiques et de procédures actualisées pour mettre en œuvre l’Executive Order 14086 par toutes les agences de renseignement américaines. L’EDPB recommande à la Commission d’évaluer ces politiques et procédures mises à jour et de partager son évaluation avec l’EDPB.

Andrea Jelinek, présidente de l’EDPB, a déclaré :  » Un niveau élevé de protection des données est essentiel pour sauvegarder les droits et libertés des individus de l’UE. Tout en reconnaissant que les améliorations apportées au cadre juridique américain sont significatives, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées afin de garantir la pérennité de la décision d’adéquation. Pour la même raison, nous pensons qu’après le premier examen de la décision d’adéquation, des examens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer. »

Le projet de décision d’adéquation, publié par la Commission européenne le 13 décembre 2022, est basé sur le cadre de protection des données (DPF) UE-États-Unis – censé remplacer le Privacy Shield invalidé par la CJUE dans l’arrêt Schrems II. L’élément clé du DPF est constitué par les principes du cadre UE-États-Unis de protection des données, qui ont été publiés par le ministère américain du commerce. Le DPF n’est applicable qu’aux organisations américaines qui se sont auto-certifiées. L’EDPB a maintenant adopté son avis sur le projet de décision, qui prend en compte à la fois les aspects commerciaux et l’accès et l’utilisation des données par les autorités publiques américaines.

En ce qui concerne les aspects commerciaux, l’EDPB se félicite d’un certain nombre de mises à jour apportées aux principes du DPF. Il note également qu’un certain nombre de principes restent essentiellement les mêmes que dans le cadre du Privacy Shield. À ce titre, certaines préoccupations demeurent, par exemple, en ce qui concerne certaines exemptions au droit d’accès, l’absence de définitions clés, le manque de clarté quant à l’application des principes du DPF aux sous-traitants, la large exemption au droit d’accès pour les informations accessibles au public, et l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. L’EDPB réaffirme également que le niveau de protection ne doit pas être affaibli par les transferts ultérieurs. Il invite donc la Commission à préciser que les garanties imposées par le destinataire initial à l’importateur dans le pays tiers doivent être effectives au regard de la législation du pays tiers, avant tout transfert ultérieur.

En outre, l’EDPB demande à la Commission de clarifier la portée des exemptions concernant l’obligation d’adhérer aux principes du DPF et souligne l’importance d’une surveillance et d’une application efficaces du DPF. Ces aspects seront suivis de près par l’EDPB, ainsi que l’efficacité des voies de recours offertes aux personnes concernées de l’UE dont les données sont traitées en violation du RGPD.

En ce qui concerne l’accès du gouvernement aux données transférées aux États-Unis, l’EDPB reconnaît les améliorations significatives apportées par l’Executive Order (EO) 14086. L’EO introduit les concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignement américains (renseignement électromagnétique).

En outre, le nouveau mécanisme de recours crée des droits pour les individus de l’UE et est soumis à l’examen de la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). Le PE consacre également davantage de garanties pour assurer l’indépendance de la Cour de révision de la protection des données (CRPD), par rapport au mécanisme précédent du médiateur et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.

L’EDPB souligne qu’une surveillance étroite est nécessaire concernant l’application pratique des principes de nécessité et de proportionnalité nouvellement introduits. Une plus grande clarté est également nécessaire concernant la collecte temporaire en vrac et la conservation et la diffusion ultérieures des données collectées en vrac.

L’EDPB s’inquiète également de l’absence d’obligation d’autorisation préalable par une autorité indépendante pour la collecte de données en masse en vertu de l’Executive Order 12333, ainsi que de l’absence de contrôle indépendant systématique ex post par un tribunal ou un organe indépendant équivalent.

En ce qui concerne l’autorisation indépendante préalable de la surveillance au titre de la section 702 de la FISA, le PCLOB regrette que la Cour FISA ne contrôle pas la conformité avec l’Executive Order 14086 lorsqu’elle certifie des programmes autorisant le ciblage de personnes non américaines, alors même que les autorités de renseignement qui exécutent le programme sont liées par celui-ci. Des rapports du PCLOB sur la manière dont les garanties de l’EO 14086 seront mises en œuvre et comment ces garanties sont appliquées lorsque des données sont collectées en vertu de la section 702 de la FISA et de l’EO 12333 seraient particulièrement utiles.

En ce qui concerne le mécanisme de recours, l’EDPB reconnaît les garanties supplémentaires prévues, telles que le rôle des avocats spéciaux et l’examen du mécanisme de recours par le PCLOB. En même temps, l’EDPB est préoccupé par l’application générale de la réponse standard du DPRC notifiant au plaignant que soit aucune violation couverte n’a été identifiée, soit une détermination exigeant une remédiation appropriée a été émise, d’autant plus que cette décision ne peut pas faire l’objet d’un appel. L’EDPB invite donc la Commission à surveiller de près le fonctionnement pratique de ce mécanisme.

 

A.R

Nouvelle victoire pour noyb

dans , ,

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

 

Il y a deux ans, Noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L’agence autrichienne d’évaluation du crédit stockait des données non sollicitées de personnes jusqu’alors inconnues qui exerçaient leur droit légal d’accéder à leurs données. Aujourd’hui, l’autorité autrichienne de protection des données (DSB) a publié sa décision sur cette affaire : l’agence d’évaluation du crédit ne peut pas collecter de données par le biais de demandes d’accès à des registres d’état civil.

Décision de l’ORD autrichien.

L’agence d’évaluation du crédit stocke des données provenant de demandes d’information. Les Européens ont le droit de soumettre une demande d’information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l’identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d’identité, un nom, une adresse ou une date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que dans le but de répondre à une demande d’accès et doivent ensuite les supprimer à nouveau. Ce n’est pas le cas du leader du secteur des agences d’évaluation du crédit autrichiennes : KSV 1870 stocke des informations sur les personnes lorsqu’elles demandent l’accès à leurs données.

Approche systématique de la KSV. L’approche du KSV est systématique – nous avons reçu de nombreux cas similaires. Une personne concernée avait déposé une demande d’accès au titre de l’article 15 du GDPR auprès du KSV. L’agence de crédit a répondu qu’aucune donnée personnelle de la personne concernée n’avait été traitée. Du moins jusqu’à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée afin de faire valoir son droit d’accès seraient désormais stockées dans la « base de données commerciale ». Mais ce n’est pas tout : avant cela, les informations de la personne concernée provenant de la demande d’accès étaient comparées à ses données dans le registre central des résidents et ajoutées à la base de données des entreprises.

« L’ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d’information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d’innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger de la KSV la suppression des données traitées illégalement. » – Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu

DPA et Noyb sont d’accord : KSV agit de manière illégale. Les actions de KSV violent le principe de limitation de la finalité selon l’article 5, paragraphe 1, point b), du RGPD. Ce principe stipule que les données doivent être collectées dans un but précis. Un traitement ultérieur pour une autre finalité n’est autorisé que s’il est compatible avec la finalité initiale. Le DPD a estimé qu’il n’y avait aucune raison apparente de traiter les données de la demande d’accès aux notations de crédit, et qu’il n’y avait pas non plus de mandat légal pour la collecte générale des données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.

la Noyb surveille de près les négociants en données. Les industries dont l’activité principale est le commerce de données doivent être tenues à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d’évaluation du crédit ne sont guère réglementées : si elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, il n’existe aucune définition des informations spécifiques que cela inclut. Comme les agences d’évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.

 

Les précieuses décisions de la CJUE

dans , ,

Les précieuses décisions de la CJUE (Episode 2) L’affaire C-184/20

Une nouvelle question préjudicielle[1] posée à la Cour de Justice de l’Union Européenne (CJUE) permet d’interpréter encore davantage le sens à donner aux dispositions issues du Règlement Général sur la Protection des Données (RGPD).

Le contexte de l’affaire

Les circonstances de cette décision résonnent différemment, à quelques jours de la Saint-Valentin : il faut croire qu’en politique, comme en amour, tout est une question de confiance !

Au cœur de cette affaire : la transparence due au public par les dirigeants[2].

Une loi lituanienne du 02 juillet 1997 impose la publicité des déclarations d’intérêts et de patrimoine de ses responsables publics, comme cela est le cas dans plusieurs autres États de l’Union Européenne (UE). Ce texte habilite également une autorité indépendante, la « Haute Commission », à veiller au respect de cette exigence de transparence. A ce titre, elle est notamment chargée de poster sur Internet les déclarations d’intérêts privés qui lui sont adressées.

« OT », le directeur d’un établissement public lituanien actif dans le domaine de la protection de l’environnement, n’a vraisemblablement pas eu le cœur à l’ouvrage. Ce dernier a en effet refusé de soumettre sa déclaration, estimant que cette obligation contrevient à ses droits fondamentaux (droit en matière de protection des données personnelles et droit au respect de sa vie privée).

L’affaire a été portée en justice, et les magistrats lituaniens ont questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre leur droit national et le RGPD.

Vous ne connaissez pas ces textes par cœur ? Ah bon ? Voici donc un petit rappel utile :

Les questions posées à la CJUE

  • Vous l’aurez compris, se pose en substance la question de savoir si le RGPD permet qu’une loi nationale organise la mise en ligne systématique, par l’autorité de contrôle compétente, de la déclaration d’intérêts privés réalisée par un directeur d’établissement percevant des fonds publics.

Ayez le cœur bien accroché, car il est nécessaire de tenir un raisonnement construit pour parvenir à la réponse !

Tout d’abord, il convient de vérifier si un tel traitement est licite.

Pour cela, il faut que le traitement de données que constitue cette publication ait une base légale, c’est-à-dire d’un fondement juridique justifiant sa mise en œuvre. Ici, la loi lituanienne impose à la Haute commission de poster sur son site Internet les déclarations de patrimoine qu’elle reçoit. Cette publication est donc justifiée par l’obligation légale à laquelle est soumise la Haute commission, conformément à l’article 6(1)(c) du RGPD (cf. supra).

Mais l’existence d’une loi prescrivant le traitement de données ne suffit pas. Encore faut-il que cette loi réponde ensuite à plusieurs critères :

  • Les dispositions législatives en cause doivent poursuivre un objectif légitime d’intérêt public ;
  • Le traitement de données concerné doit répondre effectivement à l’objectif légitime poursuivi ;
  • Le traitement de données concerné doit répondre à l’objectif légitime de manière proportionnée.

La publicité de ces déclarations de patrimoine poursuit-elle un objectif légitime d’intérêt public ?

Pour la CJUE, cela ne fait aucun doute. Selon elle, cette mesure a à cœur de « renforcer les garanties de probité et d’impartialité des décideurs du secteur public, [de] prévenir les conflits d’intérêts » et les pratiques illégales dans le secteur public. D’autant que de nombreux textes imposent précisément aux pays de l’UE de lutter contre la corruption, tant au niveau international qu’au niveau communautaire.

Cette mise en ligne est-elle apte à atteindre l’objectif d’intérêt général de lutte contre la corruption ?

Selon la CJUE, cette publicité est susceptible d’influer sur l’exercice des fonctions des personnes tenues de remplir cette déclaration de patrimoine. Cette mesure joue donc un rôle de prévention des conflits d’intérêts et de corruption. Elle permet à tout à chacun d’en avoir le cœur net sur la probité de ces dirigeants, d’« accroître la responsabilité des acteurs du secteur public et, partant, à renforcer la confiance des citoyens dans l’action publique ».

Le traitement de données (la publication) est-il strictement proportionné au but poursuivi ?

Là se situe le point bloquant de cette mesure pour la CJUE.

Pour être proportionné, un traitement de données ne doit pas aller au-delà de ce qui est nécessaire pour concrétiser l’objectif qu’il poursuit. Autrement dit, le but recherché ne doit pas pouvoir être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées.

Or, justement, la CJUE a ici estimé que cette publicité excessive, en particulier au regard de l’impact de cette mesure sur le droit au respect de la vie privée des déclarants et de celle de leurs proches. La Cour relève que la loi lituanienne contrevient au principe de « minimisation des données » prévu à l’article 5(1)(c) du RGPD, notamment car :

  • Un nombre trop important de professionnels est concerné par la publicité de leur déclaration.

Il y a lieu de pondérer cette obligation en tenant compte de la position hiérarchique, de l’étendue des compétences et des pouvoirs dont dispose le dirigeant en matière d’engagement et de gestion de fonds publics. La CJUE est donc d’avis que les directeurs d’établissements ne soient pas traités comme d’autres catégories de fonctions. Selon elle, un simple contrôle du contenu de leur déclaration par la Haute commission, sans mise en ligne, est suffisant. A condition toutefois que cette autorité dispose des moyens nécessaires pour procéder à ces vérifications…

  • L’ampleur des données réclamées est exagérée, tel que le fait de solliciter la mention de « toute transaction conclue au cours des derniers mois civils dont la valeur excède 3.000 €».
  • Trop d’informations devant figurer sur la déclaration de patrimoine ont vocation à être publiées.

Pour la CJUE, il conviendrait de réduire cette liste. La Cour relève que le même niveau de transparence pourrait être atteint s’il était fait uniquement référence, dans la publication, à l’expression générique de « conjoint, concubin ou partenaire », plutôt que de révéler l’identité de ce(tte) dernier(e).

Pas besoin que tous les décideurs publics se livrent à ce point à cœur ouvert pour les responsabiliser !

Sur ce point, la CJUE apporte une précision importante. En répondant à une deuxième question qui lui est adressée, elle souligne que le fait de dévoiler le nom des conjoints/concubins est susceptible de révéler certains aspects sensibles de la vie privée des déclarants, y compris, par exemple, leur orientation sexuelle. Dans ces conditions, la mise en ligne des déclarations d’intérêts privés s’avère être un traitement portant sur des catégories particulières de données, au sens de l’article 9 du RGPD (cf. supra). En effet, s’il ne comporte pas de données « intrinsèquement sensibles », il comprend des données « dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature ». Ce d’autant que la publication de ces renseignements sur le Web les rend accessibles à un nombre potentiellement illimité de personnes. Cette mise en ligne risque d’exposer les proches des déclarants à des démarchages commerciaux répétés, voire à des risques d’agissements criminels par des gens qui ne les porteraient pas dans leur cœur…

 

« OT » a donc eu raison de faire contre mauvaise fortune, bon cœur, pour faire valoir ses droits !

 

Et nous, dans tout cela ?

La France s’est dotée de lois similaires. Sur le même principe qu’en Lituanie, une autorité administrative indépendante est investie de la mission de contrôler l’application des règles en matière de prévention des conflits d’intérêts et de lutte contre la corruption : la Haute Autorité pour la transparence de la vie publique[3].

La loi n° 2013-907 du 11 octobre 2013 prévoit cependant expressément que l’adresse personnelle de l’auteur de la déclaration de patrimoine, ainsi que l’identité des membres de sa famille, ne peuvent pas être rendus publics. Cette obligation de déclaration concerne également moins de responsables publics qu’en Lituanie (globalement, les personnes investis d’un mandat électif et les présidents/directeurs généraux des sociétés dans lesquelles plus de la moitié du capital social est détenu par l’État).

MAIS PRUDENCE – La CJUE précise que sa conclusion n’est pas forcément valable pour tous les Etats membres de l’UE. Selon elle, pour apprécier la légalité de ces publications impératives de déclarations d’intérêts, il convient de prendre en compte « l’ensemble des éléments de droit et de fait propres à l’État membre concerné », tels que l’existence d’autres mesures destinées à prévenir les conflits d’intérêts ou l’ampleur du phénomène de corruption au sein du service public, par exemple.

♥ ♥ ♥

Quelles données collecter ? Pourquoi ? Comment ? Sous quelles conditions ?

Vous êtes perdu parmi toutes ces obligations légales ?

Haut les cœurs ! Pour tout comprendre, il suffit d’être bien accompagné !

Notre équipe d’experts est présent pour vous assister dans vos démarches de conformité.

Si le cœur vous en dit, appelez-nous à la rescousse via notre formulaire de contact, ne serons de tout cœur à vos côtés :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Lorsqu’un tribunal d’un pays de l’Union Européenne (UE) s’interroge, lors d’un procès, sur la portée du champ d’’application d’une législation européenne et son articulation avec le droit national, les juges de cet État membre peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle, pour savoir comment interpréter les textes en cause. 

[2] L’arrêt CJUE, n°C-184/20 « OT contre Vyriausioji tarnybinės etikos komisija », 1er août 2022, est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=345786

[3] Pour en savoir plus sur la Haute autorité pour la transparence de la vie publique, rendez-vous sur son site : https://www.hatvp.fr/temps-forts-2/

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Apple condamne par la CNIL

dans ,

Pomme de reinette et pomme…pas « happy »

 

Le 29 décembre 2022, la CNIL [1] a condamné la multinationale APPLE à une amende de 8 millions d’euros.

Mais quelle a donc a été la pomme de discorde entre l’autorité de contrôle et le géant américain ?

Les produits de communication développés par le groupe APPLE sont fournis avec un système d’exploitation préinstallé. Or, dans l’ancienne version 14.6 du système d’exploitation de l’iPhone (iOS 14.6), la société se permettait d’utiliser en tout liberté l’identifiant assigné à chacun de ses clients pour leur proposer, sans leur autorisation, des publicités personnalisées.

L’association France Digitale a découvert ce ver dans la pomme, et a porté plainte contre la politique d’APPLE en matière de ciblage publicitaire.

Vous êtes pommés…pardon paumés ? RGPD-Experts vous explique tout !

Lorsque les propriétaires d’iPhone se rendaient sur l’App Store de leur téléphone – sorte de magasin virtuel pour télécharger de nouvelles applications – un identifiant leur était automatiquement attribué, en étant lu et/ou déposé sur leur appareil. Cette forme de « cookie façon APPLE » permettait ensuite à l’entreprise d’identifier les préférences de ses utilisateurs, afin de leur soumettre des annonces susceptibles de leur plaire[2].

Une législation bien plus protectrice des données personnelles en Europe qu’au pays des Pommes-pommes Pom-Pom Girls.

Si aux États-Unis les lois sont peu soucieuses de protéger les données personnelles des citoyens américains, ce n’est pas le cas en France ! Avant de recourir à ce type de traceurs, qui ne sont pas strictement nécessaires à la fourniture d’un service, la réglementation impose le recueil préalable du consentement des personnes concernées.

 

 

« Remarque: L’article 82 de la loi n°78-17 du 06 janvier 1978 dite loi « Informatique et Libertés » constitue la transposition en droit interne de l’article 5(3) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, plus connue sous le nom de Directive « ePrivacy » ».

La CNIL a relevé que la société à la pomme ne respectait pas ses obligations légales sur ce point.

En effet, le consentement des utilisateurs d’iPhone à ces opérations d’écriture et/ou lecture de données à visée publicitaire n’était pas recueilli lors du parcours d’initialisation du téléphone, à son achat. Au contraire, les paramètres autorisant les publicités personnalisées étaient activés par défaut…

Or, pour être valable, le consentement des personnes concernées doit notamment être donné par un acte positif clair.

 

Pire encore, alors que les internautes doivent pouvoir retirer aussi facilement leur consentement à cette finalité de ciblage publicitaire que le donner, il était particulièrement compliqué pour les usagers d’iPhones de désactiver cette configuration pré-cochée. Ceux-ci devaient se perdre dans les méandres des fonctionnalités de leur portable pour y arriver.

(Icône « Réglages »  Menu « Confidentialité »  « Publicité Apple »)

Autrement dit, tout le travail était pour leur pomme !

Seulement 8 millions d’euros d’amende ?

Pas de quoi tomber dans les pommes pour la firme américaine, qui a réalisé un chiffre d’affaires de 90,1 milliards de dollars pour le seul quatrième trimestre de 2022[3].

La CNIL a toutefois retenu comme circonstance atténuante le fait que le système de publicité personnalisée d’APPLE était basé sur l’analyse d’actions similaires de plusieurs internautes, et non sur l’évaluation des comportements individualisés du propriétaire de l’iPhone.

APPLE s’est, depuis ce petit « pépin », mis en conformité. Dans la nouvelle version de son système d’exploitation iOS15, la société a intégré un dispositif destiné à recueillir le consentement des utilisateurs avant d’utiliser leurs identifiants à des fins de publicité ciblée. La multinationale a toutefois fait appel de la délibération de la CNIL[4]. Affaire à suivre donc

Cette délibération de l’autorité de contrôle vous laisse mi-figue mi-raisin ? Vous ne savez pas quand et comment organiser le recueil du consentement des individus dont vous manipulez les données ? Vos questions sur la gestion de vos cookies et autres traceurs vous mettent le cerveau en compote ?

N’hésitez pas à vous rapprocher de nos services pour être accompagnés dans vos démarches de conformité :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Pour comprendre comment fonctionnent les « cookies » et savoir quelles sont les règles applicables en la matière, nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[3] Selon le propre communiqué d’APPLE sur son site Internet : https://www.apple.com/fr/newsroom/2022/10/apple-reports-fourth-quarter-results/

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046907077

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires

Vœux 2023

dans ,

Alors, quels projets pour la nouvelle année ?

 

RGPD-Experts vous présente ses meilleurs vœux pour 2023 !

Nous vous souhaitons une année riche sur tous les plans, et que vos ambitions les plus secrètes se réalisent.

Que vous soyez entrepreneurs, membres d’une entreprise ou d’une collectivité publique voire bénévoles au sein d’une association, nous nous ferons une joie de vous aider à accomplir les projets qui vous tiennent à cœur, quels qu’ils soient.

Car notre objectif, chez RGPD-Experts, n’est pas d’obtenir la conformité de votre organisme pour le principe. Au-delà de vous accompagner pour assurer la protection des données personnelles que vous manipulez, nous désirons aussi et surtout vous faciliter la vie !

Votre priorité cette année est de vous consacrer plus de temps, et à vos proches ?

Nous œuvrons pour développer des solutions concrètes pour optimiser vos démarches de conformité.

Nous vous assistons dans la mise en place de procédures destinées à simplifier votre quotidien (formulaire pour gérer efficacement vos sous-traitants, réflexes à adopter pour répondre sereinement aux demandes d’exercice de droit des personnes concernées, méthodologie à respecter en cas de violation de données, etc.).

Pour vous aider à rédiger et à tenir à jour votre registre des activités de traitement, tâche particulièrement chronophage, RGPD-Experts a mis au point pour vous REGISTER +.

Intuitif et sécurisé, ce logiciel vous permettra de rédiger et de mettre à jour votre registre des activités de traitement sans prise de tête. Il est également un outil idéal pour superviser vos actions RGPD en temps réel, et en un clic.

Notre application regorge de fonctionnalités, qui répondent à vos exigences de performance et d’amélioration continue en matière de protection des données, tel qu’un module d’affectation et de suivi des tâches à accomplir, avec date programmée et relances automatiques.

 

 

Nous vous proposons également un abonnement “Assistance RGPD”. Grâce à cette formule, vous pourrez accéder à notre base de connaissances dédiée à la protection des données. Fini les recherches inutiles ! Vous bénéficierez également d’une réponse rapide de nos experts sur toutes les questions que vous vous poserez sur votre conformité.

 

 

Et si vous souhaitez vous reposer au maximum sur des professionnels aguerris pour piloter vos démarches de conformité, vous pouvez aussi désigner les professionnels de RGPD-Experts comme Délégués à la Protection des Données externes. Profitez ainsi d’un accompagnement permanent de vos collaborateurs !

 

 

Vous l’aurez compris : nous veillons à mettre à votre disposition une multitude de services,
pour que votre sérénité au travail soit synonyme de tranquillité à la maison.

Votre priorité est de développer vos compétences professionnelles et de vous investir davantage au travail ? 

Notre équipe d’experts, qualifiés par Bureau Veritas, vous propose chaque mois un enseignement et un partage d’expérience de 35 heures pour développer vos aptitudes.

RGPD-Experts vous accompagne également dans la préparation des épreuves de certification de vos compétences de DPO par Bureau Veritas, si vous souhaitez que vos connaissances soient reconnues officiellement.

Notre formation est certifiée Qualiopi, pour une prise en charge OPCO / FNE / Pôle Emploi.

En équipe ou seul, nos échanges et entrainements et cas pratiques, vous permettront d’actualiser vos compétences professionnelles sur des problématiques liées à la protection des données.

À l’heure des nouvelles technologies et d’une valorisation croissante du patrimoine informationnel des organismes, cette formation sera un atout tant pour vous que pour votre organisme. En savoir plus sur nos dates des formations sur l’année 2023

« Investir dans la formation, c’est conjuguer au présent mais aussi au futur le souci des hommes et le souci des résultats »

– Philippe BLOCH, auteur contemporain

Pour une année 2023 paisible mais pleine de découvertes, nous vous invitons à consulter l’ensemble de nos offres sur notre site Internet :

https://www.rgpd-experts.com/

Ou à nous contacter via notre formulaire :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

achats en ligne

dans ,
Lire la suite

Directive police-justice

dans

Directive « Police-Justice » : quelles sont les articulations avec le RGPD

 

La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le « paquet européen de protection des données à caractère personnel », composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ». La directive « Police-Justice » a ainsi été transposée en France au sein du chapitre XIII de la loi Informatique et Libertés.

Quel champ d’application de la directive « Police-Justice » ?

La directive « Police-Justice » établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Pour entrer dans le champ d’application de la directive « Police-Justice », un traitement de données doit donc répondre à deux conditions cumulatives.
D’une part, il doit poursuivre l’une des finalités mentionnées à l’article 1er. La directive « Police-Justice » a ainsi largement vocation à s’appliquer en « matière pénale » et, en particulier, aux activités menées par la police par exemple dans le cadre de la prévention et de la constatation de certaines infractions à l’occasion des déplacements des passagers ou encore aux traitements permettant la gestion des mesures d’application des peines prononcées par l’autorité judiciaire.

Les dispositions de cette directive peuvent également avoir vocation à encadrer les traitements mis en œuvre dans le cadre d’activités qui ne relèvent pas spécifiquement de la sphère pénale mais qui se rapportent à des activités de police effectuées en amont de la commission d’une infraction pénale. Peuvent ainsi relever des finalités encadrées par la directive « Police-Justice », les activités préventives de police aux fins de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une qualification pénale et les traitements mis en œuvre pour ces finalités.
D’autre part, le traitement, quelle que soit sa finalité, n’entre dans le champ de la directive « police justice » que s’il est mis en œuvre par une « autorité compétente ».

Un champ d’application distinct du RGPD

Le RGPD et la directive « Police-Justice » composent tous deux le « paquet européen relatif à la protection des données à caractère personnel ». Ils présentent des champs d’application distincts qui se veulent complémentaires.

Le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les Etats membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’Etat ou de défense nationale, et ceux mis en œuvre aux fins de la directive « Police-Justice ».

Un champ d’application excluant les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale

Les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale ne relèvent pas du champ d’application de l’Union européenne et restent régis par les dispositions de la seule loi « Informatique et Libertés ».

Quelles obligations pour les responsables de traitement agissant dans le cadre de la directive « Police-Justice » ?

Différentes obligations incombent au responsable de traitement, sachant que lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont considérés comme étant responsables conjoints du traitement.

Certaines obligations prévues par la directive sont identiques à celles prévues par le RGPD :

  • mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement soit conforme à la directive (article 19)
  • mettre en œuvre une protection des données dès la conception et par défaut : privacy by design and by default (article 20)
  • faire appel à des sous-traitants qui présentent des garanties suffisantes et qui ne pourront agir que sur instruction du responsable du traitement (article 22)
  • tenir un registre des activités de traitement (article 24)
  • mettre en œuvre des mesures de journalisation (article 25)
  • coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions (article 26)
  • réaliser une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 27)
  • consulter préalablement l’autorité de contrôle  dans les cas énumérés à l’article 28 de la directive
  • mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier pour les données dites sensibles (article 29)
  • notifier à l’autorité de contrôle les violations de données à caractère personnel dans les meilleurs délais, et si possible au plus tard dans un délai de 72h après en avoir pris connaissance, en cas de risques pour les droits et libertés d’une personne physique (article 30)
  • communiquer à la personne concernée la violation de ses données à caractère personnel lorsqu’il y a un risque élevé pour les droits et libertés de celle-ci (article 31)
  • désigner un délégué à la protection des données dans les conditions prévues à l’article 32 de la directive
  • respecter les conditions définies pour le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales (articles 35 et suivants)

D’autres obligations sont spécifiques à la directive « Police-Justice » :

  • établir, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, comme par exemple les personnes reconnues coupables d’une infraction pénale, les personnes victimes d’une infraction pénale, les tiers à une infraction pénale etc. (article 6)
  • distinguer entre les données à caractère personnel (données fondées sur des faits/données fondées sur des appréciations personnelles) et vérifier la qualité des données (article 7)
  • le traitement doit être licite, c’est-à-dire nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités prévues aux fins de la présente directive, et fondé sur le droit de l’Union ou le droit d’un Etat membre (article 8)
  • le traitement portant sur des données sensibles ne peut être autorisé qu’en cas de nécessité absolue (article 10)

Quels droits pour les personnes concernées ?

En raison de la spécificité du champ d’application de la directive « Police-Justice », des droits présents dans le RGPD ne se retrouvent pas dans la directive ou peuvent être assortis de limitations.

https://eur-lex.europa.eu/legal-content/EN/TXT/?toc=OJ%3AL%3A2016%3A119%3ATOC&uri=uriserv%3AOJ.L_.2016.119.01.0089.01.FRA

A.R

Fin des anciennes CCT

dans ,

Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne

 

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
Les modèles de clauses contractuelles ont été mis à jour par la Commission européenne le 4 juin 2021.

À compter du 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées.
La Cour de justice de l’Union européenne , dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types peuvent toujours être utilisées pour transférer des données vers un pays tiers . Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.

Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent voir en particulier le considérant 145 de l’arrêt de la Cour, la clause 4 de la décision 2010/87/UE de la Commission, la clause 5 de la décision 2001/497/CE de la Commission et l’annexe II.

La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts , si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.

Où puis-je trouver les clauses contractuelles types de la Commission européenne ?

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr

Les nouvelles clauses contractuelles types remplacent les précédentes datant de 2001 et 2004. Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles clauses contractuelles types a été prévue .
Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données ont pu continuer à invoquer les anciennes clauses contractuelles types, mais au-delà cette période tous ont dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
À compter du 27 décembre 2022, les anciennes clauses contractuelles types ne peuvent plus être utilisées.

Qu’est-ce qui change avec les nouvelles clauses contractuelles types ?

Les nouvelles clauses contractuelles types, en plus de reprendre les principales protections des droits des personnes et clauses, apportent en outre plusieurs changements, pour tenir compte du RGPD et intégrer de nouveaux mécanismes.

Une structure par module.

Tout d’abord, les clauses contractuelles type combinent des clauses générales avec une approche par module pour répondre à divers scénarios de transfert.

Clauses multipartites ou « clauses d’amarrage »

Les nouvelles clauses contractuelles types permettent également à de nouvelles entités, quelles qu’elles soient, d’accéder aux clauses contractuelles types, et de devenir une nouvelle partie dans le contrat, comme sous-traitant ou responsable de traitement.
Elles permettent à plusieurs parties exportatrices de données de conclure un contrat et à de nouvelles parties d’y être ajoutées au fil du temps, au-delà des signataires initiaux.
Une nouvelle partie peut accéder au contrat seulement avec l’accord des autres parties du contrat.

Prise en compte de la législation du pays tiers de destination des transferts de données applicable à l’importateur

Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite « Schrems II » et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.

Effectuez les démarches nécessaires auprès de La CNIL.
Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.

A.R

Du nouveau dans les BRC

dans ,

Le CEPD met à jour le référentiel BCR « responsable de traitement »

 

Que sont les règles d’entreprise contraignantes ou BCR ?

Le RGPD s’applique dans l’Union européenne et protège également les personnes concernées dans l’UE si elles sont, par exemple, clientes d’entreprises situées à l’étranger. Les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires, et contiennent des engagements pris par les entités du groupe visant à établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD.

BCR-C : les nouvelles recommandations du CEPD

Lors de la séance plénière du 14 novembre 2022, le Comité européen de la protection des données a adopté des recommandations sur la demande d’approbation et sur les éléments et principes devant figurer dans les règles d’entreprise contraignantes du responsable de traitement . Les nouvelles recommandations consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d’approbation de BCR depuis l’entrée en application du RGPD. Elles clarifient les exigences du référentiel, fournissent des orientations supplémentaires et visent à favoriser ainsi la compréhension des attentes des autorités par l’ensemble des entreprises candidates. De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.

Enfin, ces recommandations intègrent les exigences de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination. Le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d’élaboration. Les recommandations adoptées le 14 novembre sont soumises à une consultation publique jusqu’au 10 janvier 2023.