Données personnelles

Transfert de Données Personnelles : quelle réglementation et quelle actualité pour assurer un niveau élevé de protection et de sécurité ?

La question de la protection des données personnelles s’évalue régulièrement à l’aune de nombreux transferts de données, intra-UE ou hors UE. 5 ans après l’entrée en application du RGPD, tour d’horizon des règles applicables.

Les traitements de données personnelles

Données personnelles, données sensibles

Les données à caractère personnel sont classées par catégories au sein du Règlement général sur la protection des données (RGPD). Selon le RGPD, une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou indentifiable. Cela peut inclure des informations telles que le nom, le prénom, l’adresse e-mail, l’adresse postale, le numéro de téléphone, l’âge, etc. (article 4 du RGPD).

Parmi ces données, certaines relèvent des catégories particulières de données qui nécessitent une protection spécifique parce qu’elles sont susceptibles d’engendrer des risques importants pour les droits et libertés des personnes concernées (considérant 51 du RGPD). Le RGPD énumère ces données, qui correspondent notamment aux informations sur l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques, biométriques, relatives à la santé ou encore à l’orientation sexuelle (article 9 du RGPD).

La collecte et le traitement de telles données sont soumis à des restrictions plus strictes en vertu de l’article 9 du RGPD, nécessitant par exemple une base juridique spécifique (par exemple le recueil d’un consentement explicite) et des mesures de sécurité renforcées.

Traitement, collecte, stockage de données personnelles

Tout responsable de traitement ou DPO est amené à effectuer divers traitements en matière de données personnelles qu’il s’agisse de la collecte, le stockage et le traitement de ces données, dans le contexte des ressources humaines, du marketing, de la prospection commerciale ou encore du recouvrement.

La notion de traitement des données personnelles englobe, toute opération sur les données, qu’il s’agisse de les organiser, les structurer, les analyser, modifier, supprimer etc. La collecte et le stockage figurent parmi ces différents traitements de données.

Chaque traitement doit être mis en œuvre, conformément à des finalités spécifiques (article 5 RGPD) et est susceptible de recouvrer un nombre de données très significatif (nom, prénom, mail, IBAN, facturation). De la même manière certaines opérations peuvent aussi entraîner le traitement de données sensibles (recouvrement, gestion de mutuelle, contentieux…).

A ce titre, la collecte des données constitue un processus essentiel pour obtenir les informations relatives aux personnes concernées, ce qui peut s’effectuer par l’intermédiaire de formulaires, de traceurs sur des sites internet, ou par d’autres moyens conformément aux législations et réglementations en vigueur, notamment le RGPD et la loi informatique et libertés. La mise en conformité de cette collecte est cruciale pour traiter de données dans un cadre sécurisé.

Le traitement et le stockage interviennent en aval de la collecte et correspondent à la phase de modification et de traitement puis de conservation sécurisée des données. Cette dernière conservation doit être déterminée et limitée.

Ces différents traitements nécessitent souvent des transferts de données, entre entités ou vers des acteurs situés en dehors de l’Union européenne (par exemple via l’utilisation d’applications ou d’outils non européens. Cet aspect doit aussi être encadré.

Les différents types de transferts de données personnelles

Transferts interentreprises

Le considérant 48 du RGPD prévoit que : « Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause. »

Dans ce contexte, il est possible de transférer des données entre entités d’un même groupe. Par exemple, dans un groupe composé d’une société mère et de ses filiales, des données relatives aux salariés telles que des fiches de paie, des évaluations de performances peuvent être collectées et gérées par les filiales et transférées à la société mère pour des finalités de gestion des ressources humaines à l’échelle du groupe. De même, les filiales peuvent recueillir des données sur des clients résidants dans d’autres pays et partager ces informations avec la société mère située dans un autre pays, à des fins d’analyse commerciale, ou à des fins de services aux clients du groupe, entre autres...

Le transfert de données intra-groupe doit être mis en œuvre conformément aux principes de l’article 5 du RGPD. Il doit également distinguer selon que ces transferts auront lieu au sein de l’Union européenne ou non. En général, ces transferts sont aussi réglés via des politiques internes au groupe en question, afin de permettre une application uniforme de la législation et de la règlementation applicable. Une analyse au cas par cas des dispositions applicables reste nécessaire, au préalable.

Ces transferts font l’objet de contrôles. En témoigne la délibération de la CNIL en date du 18 septembre 2023. Dans ce cas, la CNIL avait sanctionné l’entreprise SAF LOGISTICS pour le transfert de données sensibles de certains de ses salariés européens vers la société mère en Chine, sans la mise en œuvre des garanties appropriées.

Transferts entre responsables de traitement et sous-traitant

Les situations relatives aux transferts de données entre responsable de traitement et sous-traitant doivent aussi être pris en compte. Dans ce cadre, la conformité aux normes sur la protection des données personnelles s’avère plus complexe. En effet et en comparaison des transferts de données au sein d’un même groupe de sociétés, le transfert entre un responsable de traitement et ses sous-traitants implique des défis supplémentaires. En effet, dans la mesure où ces entités sont des personnes morales totalement distinctes et ne font pas partie d’un même groupe, leurs conformités peuvent diverger de manière significative, en l’absence de liens organisationnels à la différence des sociétés appartenant à un même groupe. Ce qui va nécessiter pour le responsable de traitement de déterminer la conformité ou non de son sous-traitant.

Afin de régir les transferts et les traitements de données personnelles entre responsable de traitement ou DPO et sous-traitants, les dispositions de l’article 28 du RGPD prévoient différentes obligations. Le traitement réalisé par le sous-traitant pour le compte du responsable de traitement doit être formalisé par le biais d’un acte juridique, généralement un contrat. Ce contrat doit contenir des clauses relatives à la protection des données, comprenant des éléments tels que la sécurité des données, leur transfert, les responsabilités de chacune des parties. Plus globalement, ce contrat contient le cadre établi pour permettre au sous-traitant de traiter les données qui lui ont été transférées par le responsable de traitement.

Transferts internationaux (hors Union européenne)

Des règles strictes sont prévues par le RGPDB Concernant le transfert de données personnelles vers des pays tiers à l’Union européenne ou des organisations internationales.

En effet, en matière de transferts de données hors de l’UE, plusieurs dispositifs sont prévus par le RGPD (hérités en partie de la directive 95/46) :

  • Les décisions d’adéquation – article 45 du RGPD : La Commission européenne peut reconnaître par une décision « d’adéquation » qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation assure un niveau de protection adéquat des données, facilitant ainsi les transferts vers ce pays sans autorisation spécifique. La liste de ces pays est régulièrement mise à jour par la Commission ;

  • Les clauses contractuelles types – article 46 du RGPD : Les entreprises peuvent avoir recours à des clauses contractuelles types mises en œuvre par la Commission européenne afin d’encadrer certains transferts de données et de garantir un niveau de protection des données similaire à celui du RGPD. Ces clauses ont été révisées et précisées le 4 juin 2021 ;

  • Les règles d’entreprises contraignantes (BCR) – article 47 du RGPD : les entreprises peuvent établir des règles d’entreprise contraignantes approuvées par les autorités de protection des données pour les transferts intragroupes de données personnelles. Ces règles sont contraignantes pour toutes les entités concernées du groupe d’entreprise ;

  • Les dérogations pour des situations particulières – article 49 du RGPD : Ce dernier prévoit une liste de dérogations en matière de transferts de données, en l’absence de décision d’adéquation ou de règles d’entreprise contraignantes. Parmi ces dérogations, le RGPD prévoit le consentement explicite des personnes concernées, qui peut être requis pour autoriser le transfert de données personnelles en dehors de l’UE mais aussi l’exécution d’un contrat ou encore pour des motifs d’intérêt public.

Sécurité des transferts de données personnelles

Risques associés aux transferts de données personnelles

Les transferts de données personnelles en dehors de l’Union européenne peuvent présenter plusieurs risques pour la protection des données personnelles, notamment le manque de protection par des législations moins strictes que celles de l’UE, ce qui expose les données des personnes concernées à des niveaux de protection moindre. En effet, une fois que les données ont été transférées hors de l’Union européenne, il peut être difficile pour les personnes concernées et les autorités de contrôles de l’UE d’exercer un contrôle sur ces données et la manière dont elles sont utilisées, stockées et protégées ou non.

Les individus peuvent ne pas bénéficier de recours dans certains pays pour demander réparation d’éventuelles violation de leurs données, ce qui peut rendre difficile en pratique la protection de leurs droits. Enfin, le niveau de protection des données peut varier considérablement d’un pays à l’autre, voire être remis en cause par d’autres impératifs, notamment en matière de surveillance gouvernementale.

Afin d’appréhender ces divergences de législation ou de réglementation, la Commission européenne tient compte dans l’élaboration de ses décisions d’adéquation des critères connexes à ceux mentionnés précédemment (article 45 du RGPD).

Elle a notamment souligné qu’il était crucial de s’assurer que les données personnelles transférées en dehors de l’UE bénéficiaient bien d’une protection équivalente à celle garantie dans l’UE, conformément aux exigences du RGPD, afin d’éviter tout risque de violation de la réglementation sur la protection des données, comme le souligne le considérant 104 du RGPD : « […] Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union […] »

Mesures de sécurité à déployer en cas de transferts de données

À la suite de l’invalidation de l’accord de transfert « Privacy Shield » entre l’UE et les Etats-Unis par l’arrêt Schrems II de la CJUE, le Comité européen de la protection des données (CEPD) a joué un rôle central afin de guider et d’orienter les entités concernées en Europe, dans le cadre de l’encadrement de leurs transferts de données vers des pays tiers. Ces recommandations avaient aussi pour objet de veiller à la prise en compte des standards fixés par la CJUE.

Le CEPD a ainsi publié ses recommandations (Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE Adoptées le 10 novembre 2020) qui visent à aider les acteurs à identifier et mettre en œuvre les mesures supplémentaires requises par l’état du droit.

En effet, ces recommandations avaient pour objet de compléter les dispositions du RGPD, sur la base de la jurisprudence de la CJUE, afin de préciser les moyens supplémentaires que les responsables de traitement et sous-traitants doivent adopter pour garantir un niveau de protection adéquat lors de transferts de données vers des pays tiers.

Ces recommandations visent notamment à fournir des méthodologies pour évaluer si des actions supplémentaires sont nécessaires pour sécuriser les transferts de données et lesquelles choisir. Le but étant de s’assurer que les données personnelles transférées bénéficient d’une protection adéquate au sein du pays tiers, conformément au RGPD et à l’arrêt Schrems II de la CJUE :

CJUE, 16 juillet 2020, C-311/18 : 134 « Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses. »

Dans ses recommandations 01/2020, le CEPD précise la nature des mesures supplémentaires, qui peuvent être :

  • Des mesures contractuelles (notamment par la mise en place de clauses et annexes au contrat qui renforcent la transparence (pt99, 103 et suivants) ;

Ces mesures peuvent être déclinées en audits et inspections des installations de traitement de données de l’importateur de données, sur place ou à distance afin de vérifier si des données ont été divulguées aux autorités publiques et dans quelles conditions (pt105 et suivants).

Lorsque le pays où l’importateur se trouve initialement respecte des normes de protection des données similaires à celles de l’UE pour les données transférées, l’exportateur de données peut exiger que l’importateur notifie rapidement s’il ne peut pas respecter les termes du contrat, notamment en ce qui concerne le niveau de protection similaire des données. Cette incapacité peut notamment résulter de changements de la législation ou pratique du pays tiers (pt107, 108 et suivants).

  • Des mesures organisationnelles :

Il s’agit de mesures telles que des politiques internes et des normes internes appliquées par les responsables de traitement et sous-traitants qui peuvent être mises en place pour assurer une protection des données personnelles. Ces dernières aident à sensibiliser les exportateurs aux risques liés à l’accès aux données dans des pays tiers et renforcent leur réactivité.

Néanmoins, le CEPD a ajouté que la seule mise en œuvre de telles mesures organisationnelles ne garantissait pas que le transfert de données respectait bien la norme d’équivalence exigée par les dispositions de l’UE. Les mesures organisationnelles devraient être complétées par des mesures contractuelles et techniques en fonction des circonstances afin de garantir un niveau de protection des données à caractère personnel essentiellement équivalent à celui garanti au sein de l’UE (pt122 et suivants)

  • Des mesures techniques :

Dans les différentes mesures techniques évoqués, le CEPD énumère la pseudonymisation (pt80), le chiffrement (pt84), le transfert de données à un importateur de données dans un pays tiers spécifiquement protégé par le droit national en tant que destinataire protégé (pt85) ou encore le traitement fractionné ou multipartite de données (pt86).

Les recommandations du CEPD soulignent également (comme le stipule la CJUE dans son arrêt Schrems II) que si l’importateur ne peut pas respecter les clauses de protection des données du contrat, l’exportateur et l’importateur doivent arrêter le transfert ou mettre fin au contrat (pt5).

Parfois, même avec des mesures supplémentaires, il peut être impossible de garantir un niveau de protection équivalent. Dans de tels cas, l’exportateur doit arrêter le transfert pour éviter de compromettre la protection des données.

De façon générale, le CEPD a souligné que tout exportateur doit évaluer les mesures supplémentaires mises en œuvre avec soin et les documenter (résumé des recommandations 01/2020).

Bien que l’article 35 du RGPD ne fasse pas mention des transferts de données, le recours à une analyse d’impact sur la protection des données peut s’avérer pertinent pour évaluer les risques pour les droits et libertés des personnes concernées, ainsi que les mesures envisagées pour faire face aux éventuels risques, y compris les garanties et mécanismes de sécurité pour assurer la protection des données. Le CEPD a ainsi milité en faveur d’une forme d’analyse d’impact dédiée (« transfer impact assesment »).


Scraping de données à caractère personnel, est-ce légal ?

 La massification exponentielle des données et notamment des données à caractère personnel et la concurrence à laquelle se livrent les sociétés ont conduit à l’émergence de nouvelles pratiques en ligne, dont fait notamment partie le « scraping ».

Le scraping : comment le définir ?

Cette pratique relativement récente correspond à la collecte et à l’extraction de données par l’intermédiaire de logiciels ou de programmes d'extraction qui permettent de collecter des informations depuis des sources accessibles publiquement sur internet. C’est le cas notamment sur des réseaux sociaux professionnels comme LinkedIn.

La valeur liée à ces données en ligne ainsi que les informations directes ou indirectes en découlant ont amené de nombreux acteurs à recourir à cette pratique souvent controversée. En effet, il existe des zones d’ombres qui entourent la légalité du recours au scraping.

Pourquoi recourir au scraping ?

Cette technique est surtout utilisée pour le traitement, l’analyse et la revente de données ainsi que pour le démarchage commercial, que ce soit par des sociétés collectant elles-mêmes ces données pour leur propre compte ou par l’intermédiaire de prestataires spécialisés en la matière.

Dans la pratique, la collecte peut recouvrir une pluralité de données, des données à caractère personnel bien entendu, mais aussi d’autres catégories de données non personnelles comme des données commerciales, financières ou statistiques liées à des biens ou des sociétés etc.

Le recours au scraping présente à première vue des enjeux économiques et concurrentiels évidents. En effet, cette pratique peut être utilisée en matière de ressources humaines (RH) pour collecter des informations sur de potentiels candidats à un emploi ou collecter des informations sur des profils pertinents et talentueux, en extrayant les données de sites professionnels ou de réseaux sociaux. Mais aussi, en détournant les modes de collecte et d’analyse de ces derniers pour organiser d’autres traitements ou opérations non prévus initialement.

Quel encadrement juridique du scraping ?

Le scraping est encadré par les articles L. 342-1 à L. 342-3 du Code de la propriété intellectuelle qui ne font pas une référence directe à la notion de scraping, mais peuvent être applicables à certaines formes de scraping telles que l’extraction et la réutilisation de contenus.

En effet, l’article L. 342-1 prévoit notamment que :

« Le producteur de bases de données a le droit d'interdire :

1° L'extraction, par transfert permanent ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu d'une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ;

2° La réutilisation, par la mise à la disposition du public de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu'en soit la forme. »

A cet effet, dans le cadre de la mise en œuvre d’un site web, il apparaît nécessaire de prévoir que l'extraction et la réutilisation de ses données seront interdites (en mentionnant au besoin l’interdiction de dispositifs d’extraction tels que le scraping), avec une mention spécifique dans les conditions générales.

Par ailleurs, dès lors que les données à caractère personnel présentes sur un site font l'objet d'une collecte et donc d’un traitement de données au sens du RGPD, elles bénéficient des dispositions de ce même règlement. C’est-à-dire que leur traitement doit reposer sur une base légale prévu par le RGPD et respecter les principes de ce dernier (minimisation des données, sécurité des données, finalités des traitements, encadrement des traitements ultérieurs etc.).

Il en résulte une certaine complémentarité entre ces normes, dans la mesure où le Code de la propriété intellectuelle permet aux exploitants de sites web de se prémunir contre l'extraction et la réutilisation de tout ou partie des données ou des données personnelles qu’ils contiennent. Pour ce faire, il importe de prévoir des interdictions d’extraction et/ou réutilisation dans les CGU de ces derniers sites. Par ailleurs, lorsque ces CGU n’interdisent pas l'extraction ou la réutilisation des données, les dispositions du RGPD trouvent néanmoins à s’appliquer aux collectes de données à caractère personnel qui peuvent résulter de cette absence d’interdiction. Mais aussi aux traitements ultérieurs de ces données. Ces traitements ultérieurs doivent dès lors reposer sur des bases légales conformément au RGPD.

Scrapez en toute légalité : respectez les CGU des sites source des données

Avant d’avoir recours à toute forme de scraping, il est nécessaire de vérifier la nature et l'origine des données, ainsi que le cadre qui leur est applicable certaines plateformes et sites interdisant cette pratique dans leurs conditions générales d’utilisations (CGU).

A titre d’exemple, un réseau social professionnel prévoit dans ses CGU l’interdiction du scraping : Vous vous engagez à ne pas : « […] 2.développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services ; »

Autre exemple, un site français de petites annonces prévoit lui aussi cette interdiction : « X est producteur des bases de données liées au Site et aux Applications. En conséquence, toute extraction et/ou réutilisation de tout ou partie de ces bases de données, au sens des articles L 342-1 et L 342-2 du code de la propriété intellectuelle, est interdite. »

Scrapez en toute légalité : respectez les principes du RGPD

  • Sur le consentement des personnes concernées :

Les personnes qui partagent publiquement leurs données avec un premier responsable de traitement ne s'attendent pas à ce que leurs données soient utilisées à d'autres fins que celle auxquelles elles avaient initialement consenti. Ainsi, une société effectuant de la prospection commerciale directe à l’aide de données issues de la pratique du scraping devra recueillir le consentement préalable, libre, spécifique, éclairé et univoque des personnes concernées.

Le scraping peut ainsi être une pratique litigieuse. A titre d’exemple, le 8 décembre 2020, la CNIL avait sanctionné à hauteur de 20 000€ la société Nestor, car celle-ci avait effectuée des sollicitations commerciales de prospects sans qu’aucun consentement n’ait été obtenu de leur part. A noter que la base de données de prospects de Nestor avait été constituée par scraping à partir de données issues de LinkedIn.

En 2023, la CNIL a aussi sanctionné à hauteur de 20 millions d’euros la société américaine Clearview AI pour avoir utilisé la technique du scraping afin de collecter des photographies et images de millions de personnes en ligne sans base légale et sans avoir informé les personnes des traitements de leurs données. La société s’était également abstenue de répondre aux demandes d’exercice des droits des personnes concernées.

  • Sur le droit d’opposition des personnes concernées :

Une société devra aussi respecter ce droit prévu par le RGPD, y compris celui des personnes préalablement opposées aux sollicitations commerciales en étant inscrites sur des listes anti-prospection ou auprès du dispositif Bloctel.

Scraping : quelles bonnes pratiques à mettre en œuvre selon la CNIL ?

RGPD : respect du principe de minimisation des données

Les sociétés recourant au scraping doivent minimiser la collecte de données à ce qui est strictement nécessaire et ne collecter que les données nécessaires aux fins de sollicitations commerciales : nom, prénom, e-mail, tout en recueillant préalablement le consentement de la personne sollicitée pour la finalité de sollicitation commerciale.

RGPD : informer les personnes concernées par le traitement de leurs données personnelles

Les sociétés doivent fournir les informations de l'article 14 du RGPD de manière concise, compréhensible et facilement accessible pour les personnes concernées, y compris les informations concernant la source des données.

RGPD : encadrer la relation contractuelle avec les sous-traitants

Un responsable de traitement qui engage un sous-traitant ayant recours au scraping pour son compte, devra veiller à la conformité de ce sous-traitant à l’égard du RGPD. Les contrats entre les parties devront aussi être conformes à l'article 28 du RGPD.

Exemple de pratique litigieuse : Reprenons notre exemple des CGU. Un sous-traitant est amené à collecter des données personnelles par scraping sur un site web alors que les CGU du site mentionnent une interdiction d’utiliser une telle pratique en vue d’extraire et réutiliser les données. Les données collectées par le sous-traitant de manière litigieuse sont ensuite réutilisées par le responsable de traitement. Une telle pratique est susceptible d’entraîner la mise en cause du responsable de traitement et du sous-traitant, sur le terrain de la protection des données comme sur le pénal au vu notamment des dispositions de l’article 323-3 du Code pénal. A ce titre, il reste essentiel pour tout responsable de traitement de veiller aux conditions de recueil de données personnelles par leurs sous-traitants, plus encore en matière de prospection commerciale.

Quels droits peuvent s’appliquer en cas de scraping illicite

Le scraping est une pratique qui peut être amené à tomber sous le joug d’une pluralité de dispositions légales et réglementaires. Cette pratique implique divers domaines du droit.

En effet, le scraping peut s’avérer contraire à certaines dispositions du droit de la propriété intellectuelle et du droit de la protection des données personnelles comme nous l’avons précédemment, mais aussi à l’égard du droit pénal.

Droit pénal et scraping : extraction frauduleuse de données

L’article 323-3 du Code pénal sanctionne l’extraction frauduleuse de données s’apparentant à une forme de scraping. En effet cet article prévoit que : « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. »

A ce titre, la Cour d’Appel de Paris a eu l’occasion de se prononcer par un arrêt intéressant en date du 15 septembre 2017, (M.X c/ Weezevent : jurisData n°2017-024213), aux termes duquel elle a déclaré M. X coupable d’infractions d’extractions frauduleuse de données contenues dans un système de traitement automatisée au préjudice de la société Weezevent et de la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite.

Sur l’extraction frauduleuse, les CGU du site web de la société Weezevent mentionnaient clairement l’interdiction d’extraire et de réutiliser les données du site web. Pour autant et en dépit de l’interdiction mentionnée dans ces CGU et tout en ayant lu lesdites CGU, M. X a procédé à l’extraction de 16% des données du site. La Cour a relevé que M. X avait en conséquence alimenté son site concurrentiel qu’il exploitait avec les données du site de Weezevent et ce alors qu’il ne pouvait extraire ces données sans autorisation expresse de la société Weezevent.

Sur la collecte de données à caractère personnel par un moyen frauduleux, déloyal et illicite, l’intention frauduleuse de la collecte était caractérisée, pour la Cour, par l’utilisation de scripts spécialement conçus pour collecter de manière sélective des données personnelles (adresses mail) de personnes morales, mais surtout de personnes physiques, à l’insu de ces personnes et dans un but purement concurrentiel, à des fins d’exploitation économique. Ce dernier aspect était souligné par la Cour, ce qui démontrait les limites à apporter au scraping à des fins économiques.

Autant d’éléments qui soulignent la nécessité d’encadrer toute forme de collecte de données qui pourrait s’apparenter au scraping, que ce soit de manière directe ou indirecte, via des prestataires.

Le cabinet DEROULEZ AVOCATS, expert en droit des données personnelles, vous accompagne sur l’ensemble de ces problématiques. Contactez nos avocats pour évaluer ou assurer la conformité de vos collectes de données face au RGPD et aux autres réglementations en la matière !

Violation de données personnelles : que faire ?

Une violation de données à caractère personnel a lieu lorsqu’un traitement de données personnelles a été mis en œuvre et lorsque les données traitées font l’objet d’une violation (perte de disponibilité, d’intégrité, de confidentialité) de manière illicite ou accidentelle.

Tout organisme public ou privé, qu’il soit responsable du traitement ou sous-traitant et quelle que soit sa taille, est soumis à des obligations spécifiques dès lors qu’il traite des données personnelles et qu’il a connaissance d’une violation de données.

Qu’est-ce qu’une violation de données ?

La violation de données à caractère personnel est définie à l’article 4.12 du RGPD comme 
une violation de la sécurité de manière accidentelle ou illicite de laquelle résulte une destruction, perte, altération, divulgation ou accès non autorisée à l’égard des données à caractère personnel qui sont transmises, conservées ou traitées.

Quelles obligations en matière de violation de données ?

Il y a trois obligations principales en matière de violation des données :

  • Tenir un registre des violations ;

  • Notifier la violation à la CNIL ;

  • Informer les personnes concernées par la violation.

Première obligation : tenir un registre des violations de données

Cette obligation est à respecter quel que soit le niveau de risque encouru par la violation.

À la suite d’une violation de données, le responsable du traitement doit recenser au sein d’un registre des violations les faits concernant la violation, ses effets, mais aussi les mesures prises pour remédier à la violation. Cela permet au responsable de traitement de prouver le respect de ses obligations en la matière lors d’un éventuel contrôle par l’autorité de protection des données (CNIL).

Le responsable de traitement peut recenser tout élément relatif à la violation, toutefois le registre doit absolument contenir les éléments suivants :

  • La nature de la violation

  • Les catégories et le nombre approximatif des personnes concernées

  • Les catégories et le nombre approximatif d'enregistrements concernés

  • Les conséquences probables de la violation

Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Deuxième obligation : notifier la violation de données à la CNIL (ou à toute autre autorité compétente)

Cette deuxième obligation est à respecter s’il y a un risque ou risque élevé encouru par les personnes concernées.

En effet, une violation de données peut entrainer un risque d’atteinte aux droits et libertés des personnes, notamment une atteinte à la vie privée. C’est pourquoi, en vertu de l’article 33.1 du RGPD, les violations de données susceptibles d’entrainer des risques ou risques élevés pour les droits et libertés des personnes doivent être notifiées à l’autorité de contrôle (CNIL).

Que doit notifier le responsable du traitement à la CNIL ?

  • La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;

  • Les catégories et le nombre approximatif des personnes concernées ;

  • Les catégories et le nombre approximatif d'enregistrements concernés ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (DPO ou autre) ;

  • Les mesures prises pour remédier à la violation et pour en limiter les conséquences négatives.

Quand faut-il notifier la violation à la CNIL ?

Le responsable du traitement doit notifier la violation de données à la CNIL dans les meilleurs délais, sous 72h maximum après la prise de connaissance de la violation.

La prise de connaissance par le responsable de traitement de la violation de données constitue le point de départ du délai de 72h. La prise de connaissance de la violation correspond au moment où le responsable du traitement a la certitude raisonnable qu’un incident a eu lieu et implique des données personnelles. Cette certitude raisonnable peut être établie par le responsable de traitement après avoir pris des mesures de détection des violations et d’investigations.

A noter : Il est possible d’effectuer une notification en deux temps, dans le cas où le responsable du traitement ne dispose pas de toutes les informations requises dans le délai de 72h :

  • Une notification initiale est établie dans un délai de 72h après constatation de la violation

  • Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard.

  • Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.

En pratique le responsable du traitement devra faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.

Comment notifier à la CNIL ?

Le responsable de traitement public ou privé qui souhaite notifier à la CNIL une violation de données doit utiliser le téléservice de notification de violations : https://notifications.cnil.fr/notifications/index

Focus : les pouvoirs de la CNIL en matière de violation de données

Dans le cadre d’une violation de données, la CNIL exerce un rôle d’accompagnement des responsables du traitement en donnant d’éventuels conseils et observations relatives à des mesures de sécurité pour mettre un terme à la violation et/ou ses effets.

La CNIL peut également apporter une vérification sur la nécessité d’informer ou non les personnes concernées ou apporter des recommandations à ce sujet.

La CNIL a en parallèle un rôle de contrôle du respect des obligations du responsable de traitement : en effet, elle peut contrôler les obligations qui incombent au responsable du traitement, notamment la tenue du registre des violations, la vérification du degré de risque, le respect des délais ou encore le contenu des notifications. Elle peut sanctionner en conséquence tout manquement à l’une ou plusieurs de ces obligations.


Troisième obligation : informer les personnes concernées si elles font l’objet d’une violation de données

Cette troisième obligation est à respecter s’il y a un risque élevé encouru par les personnes concernées.

En cas de risque élevé pour les droits et libertés d’une personne concernée lors d’une violation, la personne doit être notifiée en des termes clairs et précis, des éléments suivants :

  • La nature de la violation ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (DPO ou autre) ;

  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

A noter : Cette notification doit également, si nécessaire, être complétée de recommandations et mesures de précautions destinées à la personne concernée, afin d’atténuer les éventuels effets de la violation. Par exemple, le changement de mot-de-passe ou la demande de sauvegarde sur un support personnel des données sont des recommandations pertinentes.

Il existe des exceptions à l’obligation d’informer les personnes concernées dans les cas où :

  • Les données à caractère personnel affectées sont protégées par des mesures techniques et organisationnelles appropriées (chiffrement, clé non compromise etc…) et sont incompréhensibles pour celui qui n’est pas autorisé à y avoir accès.

  • Le responsable du traitement a pris des mesures qui conduisent à ce que le risque élevé n’est plus susceptible de se matérialiser.

  • La communication de la violation aux personnes concernées exige des efforts disproportionnés, notamment si le responsable du traitement n’a aucun élément pour contacter la personne concernée. Attention, le responsable du traitement peut toutefois effectuer une communication publique afin d’en informer le ou les personnes concernées.

Comment apprécier le degré de risque d’une violation de données ?

Les 3 obligations principales en matière de violation des données que sont la tenue d’un registre des violations, la notification de la violation à la CNIL et l’information des personnes concernées, sont exigibles en fonction du degré de risque de la violation de données (absence de risque, risque ou risque élevé).

Le responsable du traitement doit donc apprécier le degré de risque selon les éléments suivants :

  • Le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données)

  • La nature, la sensibilité et le volume des données personnelles concernées

  • La facilité d’identifier les personnes touchées par la violation

  • Les conséquences possibles de celles-ci pour les personnes

  • Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.)

  • Le volume de personnes concernées

  • Les caractéristiques du responsable du traitement (nature, rôle, activités).

A noter : Une notification à la CNIL ne sera pas nécessaire dans les cas où une divulgation à la suite d’une violation porte sur des données déjà rendues publiques ou dans le cadre de la suppression de données sauvegardées et restaurées immédiatement etc…

, ,

Qu'est-ce qu'un DPO externalisé ?

, ,

Dans un monde axé sur la protection des données personnelles, le rôle du DPO ou délégué à la protection des données est essentiel. En effet, ce professionnel assure la conformité de l’organisation aux règles du règlement général sur la protection des données (RGPD) notamment.

Découvrez avec le Cabinet DEROULEZ AVOCATS tout ce qu’il faut savoir sur le DPO externalisé et comment choisir le professionnel qui vous accompagnera pour les prochaines années !

Qu’est-ce qu’un délégué à la protection des données ou DPO ?

Un délégué à la protection des données, plus communément connu sous l’acronyme DPO, est la personne désignée au sein d'une organisation, pour superviser et garantir la conformité aux règles et réglementations en matière de protection des données personnelles. Son rôle est essentiellement lié au règlement général sur la protection des données (RGPD), visant à renforcer la protection des données personnelles au sein de l’UE.

Il est important de rappeler que, bien que le RGPD soit une réglementation de l'Union européenne, ses implications s'étendent souvent au-delà des frontières de l'UE du fait de son champ d’application.

Quelle est la différence entre un DPO externalisé et un DPO internalisé ?

Les différences entre DPO externalisé et DPO internalisé résident principalement dans leurs statut, compétences, indépendance et leurs coûts associés.

  • Contrairement au DPO internalisé, le DPO externalisé ne soulève aucun problème de conflits d’intérêts. De par son indépendance, il n’interfère pas avec les membres de son organisation. Il se concentrera ainsi exclusivement sur les questions liées à la protection des données, sans subir d’influence de la part de quiconque. Ce point le différencie du DPO internalisé, qui pourrait être tenté de prioriser certains impératifs et ainsi ne plus faire preuve d’objectivité.

  • En termes d’expertise, les DPO externalisés disposent de solides compétences en droit, sécurité des systèmes d’information, management du risque, organisation et gouvernance. Ils peuvent ainsi assurer la bonne exécution des missions relatives à la protection des données. Leur formation leur permet souvent d’aller au-delà de leurs compétences.

  • On remarque également qu’en termes de coût, le DPO externe peut être une solution plus économique que le DPO interne, du fait des contraintes de formation et d’expertise.

Enfin, on retiendra qu’un DPO externe exerce ses fonctions sur la base d’un contrat de service qui vient clairement définir ses missions, rôles et responsabilités. Grâce à ce contrat, la transparence de chaque engagement pris par le DPO externe vis-à-vis de l’organisation cliente est assurée.

Engager un DPO externe présente des avantages significatifs, en termes d'indépendance, d'expertise et de coûts. Un DPO externe pourra vous fournir un soutien spécialisé, impartial et transparent dans la gestion des questions liées à la protection des données. Ainsi, il constitue une option privilégiée pour toutes les organisations soucieuses de respecter les réglementations en matière de traitement des données personnelles.

Quelles sont les missions du DPO ou data protection officer ?

Le Data Protection Officer ou délégué à la protection des données a pour mission de veiller à la conformité et à la protection des données personnelles au sein d'une organisation. Ses interventions sont multiples et cruciales pour assurer une gestion adéquate des données personnelles. Il assure également le respect des droits des personnes concernées à travers le traitement de leurs données.

Ses missions sont multiples :

  • Surveillance de la conformité de l’entreprise ou institution concernée aux exigences du RGPD. Le DPO doit donc avoir une connaissance pointilleuse de la réglementation en vigueur afin de conseiller et de guider la structure dans sa mise en conformité.

  • Missions de sensibilisation et de conseils délivrés aux responsables du traitement des données, aux employés ainsi qu’aux parties prenantes. En tant qu’expert en protection des données personnelles, le DPO informe les responsables de traitement, les sous-traitants et les employés sur leurs obligations légales. Il est ainsi à même de leur fournir ses avis et des conseils sur les bons gestes à adopter.

  • Gestion des risques liés au traitement des données personnelles et maîtrise de ceux-ci via des mesures mises en place pour les éviter. À ce titre, il surveille l’ensemble des activités de traitement des données dans l’organisation. Il doit donc être impliqué à chaque étape du cycle de vie des données personnelles et évaluer constamment les opérations de traitement. Pour ce faire, il participe aux études d’impact et supervise chaque évaluation de conformité.

  • Collaboration étroite avec les autorités de contrôle, comme la Commission nationale de l’informatique et des libertés (CNIL). Il doit donc coopérer le cas échéant avec cette autorité notamment s’il constate une violation de données ou une situation à risque.

  • Traitement des demandes des personnes concernées par le traitement des données (droit d’accès, de rectification voire de suppression des données personnelles notamment). Il s’assure ainsi que les droits de chacun sont respectés.

En résumé, le DPO a un rôle crucial pour protéger l’ensemble des données personnelles au sein d'une organisation. Il est à la fois un expert, un conseiller et un garant du respect des réglementations en matière de protection des données.

DPO RGPD : La notion d’indépendance

Peut-être vous demandez-vous à quoi fait référence la notion d’indépendance du délégué à la protection des données ?

La notion d’indépendance du DPO fait référence à sa capacité à exercer ses missions et fonctions de manière autonome et impartiale sans interférence externe. Ce point est capital, car une influence extérieure pourrait compromettre son objectivité dans le traitement et la protection des données personnelles.

On retiendra que cette indépendance est essentielle afin que le DPO agisse dans l’intérêt de la protection des données et des droits des personnes concernées.

Conformément au considérant 97 du Règlement Général sur la Protection des Données (RGPD), le DPO doit exercer ses fonctions en toute indépendance. Cette obligation s’applique dès le début de la collaboration avec l’organisme concerné.

Le responsable de traitement doit scrupuleusement veiller à ce que le DPO ne reçoive aucune instruction pour exercer ses missions. Comme prévu par l’article 38§3 du RGPD, ce dernier bénéficie d’une protection et ne pourra pas être sanctionné ou licencié par l’employeur pour avoir agi de manière indépendante.

L'indépendance du DPO est essentielle pour assurer une protection adéquate des données personnelles. Qu'il soit interne ou externe, le DPO doit pouvoir exercer ses missions sans subir d'influences extérieures et sans être soumis à des conflits d'intérêts. La sélection d'un DPO externe peut constituer une solution judicieuse pour garantir cette indépendance et ainsi assurer une conformité optimale avec les réglementations en matière de protection des données.

Quand est-ce que la désignation d’un DPO est obligatoire ?

Conformément aux dispositions précitées à l’article 37 (1) du RGPD, la désignation d’un DPO est obligatoire dans trois cas de figure :

  • Lorsqu’une autorité ou un organisme public assure le traitement des données personnelles. Dans un tel cas, l’organisme qui traite des données personnelles doit obligatoirement désigner un DPO. Celui-ci sera chargé d’assurer la conformité de l’organisation aux règles de protection des données.

  • Dans le cas où les activités de base du responsable de traitement ou du sous-traitant exigent un suivi régulier et systématique des personnes concernées : Cela concerne les organisations qui effectuent des traitements de données à grande échelle. C’est le cas par exemple des entreprises qui ont d’importantes bases de clients ou qui utilisent des technologies de profilage intensif.

  • Enfin, la mise en place d’un DPO est obligatoire lorsque les activités de base du responsable de traitement (ou du sous-traitant) consistent en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales. En effet, certaines catégories de données sont jugées comme sensibles. Elles nécessitent donc une protection accrue et efficace. Dans l’hypothèse où une entreprise traiterait à grande échelle des données sensibles, comme des données biométriques ou de santé, elle est alors tenue de nommer un DPO.

Il est important de préciser qu’en dépit de ces cas de désignation obligatoire, de nombreuses organisations et entreprises choisissent par elle-même de nommer un DPO. Ce choix est souvent volontaire et peut être un moyen efficace pour piloter leur mise en conformité avec le RGPD. De plus, cela leur permet de mieux valoriser leurs données personnelles et renforcer la confiance de leurs partenaires et clients. En bref, une solution idéale pour redorer son image de marque ou préserver une notoriété difficilement acquise.

Ainsi, il reste vivement recommandé de désigner un DPO même si cela n’est pas obligatoire, tout en documentant les motifs de cette décision.

Comment bien choisir son DPO externe ?

Avant de choisir un DPO externe pour votre organisation, il est essentiel de prendre en compte une série de critères. Vous serez ainsi en mesure de vous assurer que le délégué à la protection des données désigné remplira efficacement ses missions et assurera la conformité de votre structure au RGPD.

N’oubliez pas que le DPO, qu’il soit interne ou externe, joue un rôle majeur dans la mise en conformité au RGPD de votre organisation. Il sera chargé de contrôler la bonne application du règlement, de coordonner les mesures à prendre en compte et il participera à de nombreuses actions.

Vous devez donc vous assurer que le DPO externe choisi possède une compréhension approfondie sur l’ensemble des aspects techniques et juridiques du RGPD.

Nous vous conseillons, dans un premier temps, de vérifier si votre entreprise est dans l’obligation de désigner un DPO. Pour rappel, cette désignation est obligatoire pour les organismes publics, dans le cas de traitements réguliers et systématiques à grande échelle pour les traitements de données sensibles ou relatives à des condamnations pénales. Dans les autres cas, la désignation d’un DPO reste fortement recommandée, bien que facultative.

Votre futur DPO devra posséder des compétences affinées en matière de protection des données. Accordez une attention particulière à la formation qu’il a suivie et s’il se tient au courant des évolutions réglementaires en la matière. Il doit être capable d’agir rapidement en cas d’incident, tout en analysant avec précision chaque situation.

De plus, il devra être en mesure de s’adapter aux spécificités de votre organisation, que ce soit en termes de secteur d’activité, de taille ou de sensibilité des données traitées. Assurez-vous donc qu’il dispose d’un solide bagage pour répondre à cette mission délicate.

On retiendra que l’externalisation d’un DPO offre des avantages significatifs. Il permet d’éviter la charge d’un employé supplémentaire pour les petites entreprises et garantit un haut niveau d’expertise et d’indépendance pour les plus grandes.

DEROULEZ AVOCATS, votre cabinet spécialisé en droit de la protection des données personnelles

Besoin d’un DPO externe pour votre entreprise ou votre organisation ? N’hésitez pas à faire confiance à l’expertise du Cabinet DEROULEZ AVOCATS, spécialisé en droit de la protection des données personnelles.

Vous bénéficierez de conseils avisés et pertinents par des avocats spécialisés dans cette matière délicate mais cruciale. Notre cabinet est réputé pour sa pratique efficace en matière de protection des données (Leaders League 2023), attestant ainsi de notre professionnalisme et savoir-faire.

Activement impliqué dans l’écosystème de la protection des données, le Cabinet DEROULEZ AVOCATS vous garantit de rester à la pointe des évolutions légales et des enjeux liés en la matière. Vous pourrez vous appuyer sur le respect du secret professionnel et des règles déontologiques et confidentielles pour assurer la sécurité des données traitées. Notre réseau de partenaires et d’experts sectoriels vous garantit une mise en conformité exhaustive et spécifique à votre secteur d’activité.

Que vous soyez un grand groupe, une PME, une startup, une institution publique, une collectivité locale ou une association, nos formules sont flexibles. Elles répondent ainsi à tous les budgets et tous les types d’organisations. N’hésitez plus et prenez contact avec des professionnels pour choisir votre prochain DPO et votre mise en conformité au RGPD !

Prospection commerciale et hôtellerie : sanction de la CNIL à l’encontre de la société Accor.

Dans une délibération du 3 août 2022, la CNIL a prononcé une sanction de 600 000 euros à l’encontre de la société ACCOR, notamment pour avoir procédé à une prospection commerciale sans obtenir le consentement des personnes concernées.

 

La CNIL a reproché à la société ACCOR les manquements suivants :

  1.   Absence de consentement des personnes pour la prospection commerciale : une case pré-cochée par défaut pour les personnes réservant une chambre d’hôtel afin de recevoir la prospection commerciale par mail concernant des sociétés partenaires n’est pas un consentement libre conforme au RGPD. Pour rappel, pour pouvoir être exempté de l’obligation du recueil du consentement, la prospection commerciale par mail doit concerner des services et produits analogues fournis par la même société. Dès lors que la prospection commerciale par mail comprend des services et produits fournis par des sociétés partenaires tierces, il faut recueillir le consentement des personnes.

  2. Absence de consentement des personnes créant un espace client pour la prospection commerciale : la CNIL considère que le fait de créer un espace client sans réservation préalable ne permet pas de définir les personnes concernées comme des clients, le recueil du consentement pour recevoir de la prospection commerciale est donc nécessaire et obligatoire.

  3. Absence d’informations relatives aux données personnelles conformément aux articles 12 et 13 du RGPD : aucune mention d’information ne figurait lors de la création d’un compte client ou l’adhésion au programme de fidélité.

  4. Absence de réponse dans le délai d’un mois à une demande d’exercice des droits.

  5. Absence de prise en compte du droit d’opposition des personnes : la CNIL a constaté différents dysfonctionnements des liens de désabonnement et le mauvais traitements de plusieurs demandes d’opposition.

  6. Manquement à l’obligation d’assurer la sécurité des données personnelles : la CNIL a reproché à la société de ne pas mettre en œuvre une politique de mots de passe suffisamment robuste pour l’accès au logiciel interne de gestion des newsletter. Par ailleurs, dans le cadre de suspicion de connexion frauduleuse d’un compte client, la seule manière de débloquer son compte consistait à transmettre la carte d’identité de la personne par mail à la société. La CNIL a reproché à la société de demander ces informations par simple mail sans que les données ne soient chiffrées.

Depuis, la société s’est mise en conformité avec l’ensemble de ces manquements.

 

Que faut-il retenir de cette décision de la CNIL ?

  • S’assurer du recueil du consentement des personnes à des fins de prospection commerciale conformément à l’article L. 34-5 du Code des postes et des communications électroniques et sans case pré-cochée !

  • Informer les personnes conformément aux articles 12 et 13 du RGPD et s’assurer que l’information est fournie de manière claire et accessible.

  • Ne jamais sous-estimer une demande d’exercice des droits et notamment une demande d’accès ou d’opposition ; L’absence de prise en compte ou de réponse de ces demandes peuvent déclencher un contrôle de la CNIL. Attention également à la gestion des liens de désabonnement, ces dysfonctionnements peuvent être à l’origine de mécontentements et de plaintes auprès de la CNIL.

  • Accorder la plus grande importance à la sécurité des données personnelles (art. 32 du RGPD), notamment quant à la robustesse des mots de passe et dans le cadre des transmissions de copie de carte d’identité, s’assurer que ces données soient chiffrées.

Sanction CNIL : une société éditrice de logiciel pour des laboratoires d’analyses médicales condamnée à 1,5 millions d’euros d’amende administrative

Le 21 avril 2022, la CNIL a publié une décision de sanction par laquelle la société DEDALUS BIOLOGIE s’est vu infligée une amende d’1,5 millions d’euros.

Le 23 février 2021, la société DEDALUS BIOLOGIE a subi une violation de données personnelles concernant près de 500 000 personnes. Les données personnelles concernaient notamment les noms, prénoms, numéros de sécurité sociale, noms du médecin prescripteur, date de l’examen mais aussi et surtout des informations médicales (VIH, cancers, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient, ou encore des données génétiques).

Dès le 24 février 2021, la CNIL a effectué plusieurs contrôles, notamment auprès de la société DEDALUS BIOLOGIE qui commercialise des solutions logicielles pour des laboratoires d’analyses médicales, en tant que sous-traitant.

En parallèle, la CNIL a saisi le tribunal judiciaire de Paris qui a bloqué l’accès au site sur lequel ont été publiées les données ayant fait l’objet de la violation de données. Cette décision du 4 mars 2021 a permis de limiter les conséquences pour les personnes concernées.

Sur la base des constatations effectuées lors de ses contrôles, la CNIL a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD et notamment :

  •   Dans le cadre d’une migration d’un logiciel vers un autre outil demandé par deux laboratoires, DEDALUS BIOLOGIE agissant en tant que sous-traitant, n’a pas respecté les instructions de ces derniers et a traité des données au-delà de ce qui était demandé par les laboratoires.

  •   La société DEDALUS BIOLOGIE ne prévoyait pas suffisamment de mesures afin de garantir la sécurité des données personnelles. En effet, il n’existait aucune procédure spécifique pour les opérations de migration de données, aucune méthode de chiffrement des données personnelles stockées sur le serveur, aucun effacement automatique des données après migration vers le second logiciel, aucune procédure d’authentification requise depuis internet pour accéder à la zone publique du serveur, aucune gestion des habilitations des salariés (plusieurs comptes utilisateurs étaient partagés entre plusieurs salariés sur la zone privée du serveur), aucun procédure de gestion et de remontée des alertes sécurité sur le serveur.

  •   Dans le cadre de son activité la société DEDALUS BIOLOGIE proposait des conditions générales de vente qui, selon la CNIL, ne contenaient pas les mentions prévues à l’article 28(3) du RGPD.

 

Que faut-il retenir de cette décision ?

  • La question de la sécurité des données personnelles demeure un point clé de la conformité au RGPD, la majorité des décisions de la CNIL le soulignent. C’est un point central dont il faut tenir compte et auquel il faut accorder une attention particulière d’autant plus qu’elle peut rapidement nuire à la réputation d’une entreprise.

  •    La sous-traitance reste un élément de la conformité RGPD primordial et son encadrement est nécessaire. Il est important d’avoir une clause « RGPD » précise et exhaustive tout en s’assurant qu’elle soit effective dans les faits.

,

Maître Deroulez dans "Libération" (24/05) au sujet des données divulguées d'une administrée de la ville de Boulogne Billancourt

,

Que risque la ville de Boulogne-Billancourt pour avoir divulgué les informations vaccinales d’une administrée ?

Dans un tweet, la communication de la ville de Boulogne-Billancourt a divulgué des informations sur la vaccination Covid d’une de ses administrées. La Cnil a été avertie.

Jérôme Deroulez, avocat au barreau de Paris spécialiste de la protection des données personnelles, trouve le procédé pour le moins «surprenant». «Il y a beaucoup d’acteurs impliqués dans la vaccination et cela peut parfois être compliqué pour les collectivités locales de gérer la récupération des données personnelles. Mais dans les faits, c’est assez clair : dans un avis rendu en décembre 2020, la CNIL expliquait qui pouvait récupérer les données et comment. Il s’agit d’abord des professionnels de santé puis d’administrations publiques comme la CNAM et les ARS pour réaliser des statistiques anonymisées. Les mairies ne figuraient pas dans cette liste.»

Plus précisément, poursuit l’avocat, «un autre avis de la CNIL, cette fois au mois de février, explique bien que les collectivités locales peuvent traiter des données pour faciliter la prise de rendez-vous mais que le suivi de l’administration des vaccins, lui n’incombe qu’aux médecins.»


Retrouvez l’intervention de Maître Jérôme Deroulez via ce lien :

https://www.liberation.fr/checknews/que-risque-la-ville-de-boulogne-billancourt-pour-avoir-divulgue-les-informations-vaccinales-dune-administree-20210524_32N3QQAWEZAZHMUE23NI4E25ZE/

,

StopCOVID: webinar du GFII avec Jérôme Deroulez et Fabrice Mattatia, DPO du ministère de l'Intérieur

,

Jérôme Deroulez et Fabrice Mattatia, DPO du ministère de l’Intérieur ont animé le 28 avril 2020 le webinar organisé par le GFII au sujet de la future application StopCovid et de son cadre juridique.

Ils ont présenté les principaux enjeux liés à cette application comme les limites liées à son utilisation.

Jérôme Deroulez anime par ailleurs le groupe de travail de veille juridique numérique du GFII.

,

Géotracing, quels enjeux? Article de Jérôme Deroulez dans le Monde du Droit

,

Jérôme Deroulez a publié un article sur les enjeux liés au géotracing, du fait des pistes de travail évoquées pour lutter contre l’épidémie de COVID-19.

Cet article fait le point sur le cadre juridique applicable à de tes outils de traçage et de suivi de données.

A relire: https://www.lemondedudroit.fr/decryptages/69487-geo-tracing-quels-enjeux.html

,

Vie privée / RGPD et Coronavirus : Maître Jérôme Deroulez dans le Podcast du Monde du Droit

,

Jérôme Deroulez a été interviewé par Arnaud Dumourier pour le Monde du Droit, le 30 mars 2020.

Ce podcast était consacré à la crise du fait de la pandémie de COVID 19 et à ses conséquences en matière de protection des données personnelles et de vie privée. Jérôme Deroulez a notamment évoqué les conditions d’utilisation ou non des données personnelles au titre de la lutte contre cette épidémie.

https://www.lemondedudroit.fr/podcast/69282-podcast-jerome-deroulez.html

podcast-jerome-deroulez (1).jpg
, ,

COOKIES: Article de Jérôme DEROULEZ dans la Semaine Juridique du 25 novembre 2019.

, ,

Jérôme Deroulez a rédigé un article consacré à la publicité ciblée sur internet et au rejet des recours contre les lignes directrices de la CNIL par le Conseil d’Etat. A retrouver dans le JCP du 25 novembre 2019.

2019 11 02 JCP.jpg

Cookies - quel cadre juridique?

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio