fbpx

Actu RGPD

Le nouvel avis de la CNIL sur l’application mobile STOPCOVID

Le nouvel avis de la CNIL sur l’application mobile STOPCOVID 1260 839 jeremy

La mise en place par le Gouvernement d’une application mobile intitulé « STOPCOVID » permettant aux utilisateurs d’être informée qu’ils ont été à proximité d’une personne diagnostiquée positive au Covid-19, par le biais d’un système de reconstruction de l’historique des contacts d’une personne contaminée via un traçage des données mobiles, pose de nombreuses interrogations en matière de protection des données personnelles. Après un premier avis rendu par la CNIL le 24 avril 2020, dont nous vous avions parlé en détail lors de notre actualité d’avril 2020, la CNIL vient de rendre un second avis, le 25 mai 2020, après avoir eu plus d’informations sur la mise en application concrète de cette application mobile.

Les principales recommandations émises par la CNIL dans son avis du 24 avril 2020, ont été suivi par le Gouvernement et notamment l’utilisation de l’application sur la base du volontariat, l’absence de conséquence juridique négative en cas de refus de recourir à l’application, l’absence de création d’une liste de personnes contaminées mais seulement d’une liste de contacts ou encore la mise en place de mesures de sécurité afin de garantir la protection des données.

Dans son second avis du 25 mai 2020, la CNIL rappelle que la crise sanitaire actuelle est « de nature à justifier, dans certaines conditions, des atteintes transitoires au droit à la protection de la vie privée et des données à caractère personnel. » Elle considère donc que l’application peut être déployée sous certaines conditions et sous réserve d’une évaluation de la nécessité et/ou utilité de cette application après son lancement.

La CNIL ajoute donc à ces précédentes recommandations, les préconisations suivantes :

  • une meilleure information des utilisateurs notamment quant aux traitements de leurs données personnelles et aux possibilités d’effacement de celles-ci ;
  • la mise en place d’une information particulière pour les mineurs et leurs responsables légaux;
  • l’intégration dans le décret instituant l’application, du droit d’opposition et d’effacement pour les utilisateurs ;
  • l’accès libre des utilisateurs à la structure de programmation de l’application.

La CNIL a rappelé qu’elle opèrera un contrôle régulier de la mise en œuvre pratique de cette application. Nous vous tiendrons informé de ces recommandations et des points d’alerte à observer en cas d’utilisation de cette application.

Déconfinement : l’avis de la CNIL sur le projet de décret encadrant la politique nationale de dépistage

Déconfinement : l’avis de la CNIL sur le projet de décret encadrant la politique nationale de dépistage 1260 840 jeremy

À la suite de la crise sanitaire inédite qui nous touche, le Gouvernement a mis en place, à compter du 11 mai, une Politique de déconfinement progressif. Cette Politique s’accompagne de mesures permettant de dépister les malades du Covid-19 et de réaliser des enquêtes sanitaires.

Pour ce faire,  la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire a permis la création temporaire de deux fichiers nationaux permettant d’identifier les personnes infectées (« patients 0 »), les personnes susceptibles d’être contaminées par ce patient 0 (« cas contact ») et les chaînes de contamination : le fichier SI-DEP et le fichier Contact Covid.

Afin de garantir la protection des données personnelles des personnes enregistrées dans ces fichiers, la CNIL a émis un avis le 8 mai 2020, avant même l’adoption de la loi prorogeant l’état d’urgence sanitaire, sur le projet de décret encadrant les conditions de mise en œuvre de ces fichiers.

Des fichiers sensibles en matière de protection des données personnelles

Les fichiers SI-DEP et Contact Covid contiennent des données personnelles et de vie personnelle (identité, hébergement, déplacement, participation à des rassemblements, etc.) ainsi que des données sensibles telles que des données de santé. De plus, ces fichiers pourront être consultées par un grand nombre d’acteurs, tels que les enquêteurs sanitaires.

La CNIL a estimé que le dispositif mis en place était « globalement » conforme au RGPD, notamment en raison du caractère nécessaire du traitement de données pour la réalisation de la politique sanitaire de déconfinement. Elle a également relevé que des moyens permettant de garantir la protection des données personnelles étaient mis en œuvre, tels que :

  • le caractère volontaire de la participation aux enquêtes
  • la limitation des données de santé traitée
  • le caractère temporaire du dispositif.
 Les recommandations de la CNIL

Cependant, aux vues du grand nombre de données personnelles collectées et enregistrées, dont sensibles ainsi que de leur grande accessibilité, la CNIL a recommandé que soit mis en œuvre un certain nombre d’éléments permettant de garantir la protection des données personnelles tels que :

  • la limitation des accès des utilisateurs des fichiers en fonction du poste occupé au sein du dispositif sanitaire ;
  • la formation des personnes ayant accès aux fichiers et la mise en place de mesures de traçabilité des consultations ;
  • la limitation des durées de conservation des données dans le système à 3 mois à compter de la collecte ;
  • la garantie des droits d’accès, d’information, de rectification et d’opposition.

Le Gouvernement a pris en compte l’avis de la CNIL puisque le décret, paru le 12 mai a suivi ses recommandations. La CNIL a toutefois précisé qu’elle opérerait des contrôles dans les semaines suivant la mise de place du dispositif, afin de vérifier son application pratique et que la nécessité de réaliser un tel traitement de données serait « régulièrement réévalué ».

Coronavirus : Comment agir face à cette menace sanitaire inédite ?

Coronavirus : Comment agir face à cette menace sanitaire inédite ? 960 640 jeremy

Afin de respecter les grands principes du Règlement Général sur la Protection des Données (ci-après « RGPD »), la Commission Nationale de l’Informatique et des Libertés (CNIL) a été amenée à préciser les grands principes en matière de collecte de données sensibles telles que les données de santé.  Ainsi, la CNIL a rappelé ce que l’employeur peut et ne peut pas faire, même dans un contexte de crise sanitaire.

LES RECOMMANDATIONS DE LA CNIL

Ce que l’employeur ne peut pas faire

Les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus.

La CNIL ordonne aux employeurs de s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches. L’employeur ne pourra donc pas mettre en place les procédures suivantes :

  • Des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
  • La collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents.
Ce que l’employeur peut faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément à l’article L4121-1 du Code du travail et des textes régissant la fonction publique.

L’employeur peut en revanche :

  • Sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
  • Faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
  • Favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

C’est uniquement en cas de signalement, qu’un employeur pourra consigner la date et l’identité de la personne suspectée d’avoir été exposée et les mesures organisationnelles prises par ce dernier telles que le confinement, le télétravail ou encore l’orientation et prise de contact avec le médecin du travail

L’employeur pourra ainsi communiquer aux autorités sanitaires, sur demande de ces dernières, les éléments liés à la nature de l’exposition, nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises peuvent également établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan devra prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Conformément à l’article L4122-1 du Code du travail, chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même notamment en informant son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées uniquement par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. Par conséquent, l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.


LES RÈGLES DE SÉCURITÉ EN TÉLÉTRAVAIL

Pour faire face à la crise sanitaire, un grand nombre d’employeur ont favorisé le télétravail mais quelles sont les règles à respecter pour garantir un niveau de sécurité et confidentialité maximum ?

Nos recommandations en sept (7) points :

  1. Equiper les ordinateurs d’un système d’exploitation Les recommandations en termes de système d’exploitation sont : Windows 8.1 ou Windows 10, Mac Ios 10. Si les systèmes d’exploitation ne sont pas conformes, nous vous recommandons d’interdire la connexion et de vous tourner vers votre prestataire informatique afin de mettre à jour le système d’exploitation ;
  1. Garantir que les mises à jour soient activées et gérées par le prestataire informatique. Nous vous conseillons d’informer le prestataire informatique pour tous les accès supplémentaires non identifiés au début de la mise en place des postes. Le risque étant d’infecter le système d’exploitation et de bloquer les accès aux autres employés ;
  2. Maitriser les usages notamment veiller à ce que les enfants n’aient pas accès aux ordinateurs utilisés par vos salariés ;
  3. Vérifier la robustesse des mots de passe d’ouverture des sessions : la CNIL recommande 12 caractères comprenant des minuscules, majuscules, chiffres et caractères spéciaux ;
  4. Equiper les postes d’un anti-virus et vérifier qu’il soit activé. Nous recommandons de faire un scan anti-virus avant tout accès au serveur, cloud, etc…
  5. Sécuriser la connexion entre l’ordinateur et le serveur par un VPN par exemple qui doit garantir la confidentialité des échanges. Nous vous conseillons de faire évoluer les pares-feux pour supporter toutes les connexions.
  6. Informer votre prestataire informatique pour ajouter des postes personnels ou professionnels actuellement non compris dans votre contrat initial afin qu’il puisse assurer une surveillance de ces postes ;
  7. Equiper les postes de travail de sauvegardes en ligne pour se prémunir de la perte de données personnelles.
sécurité des données personnelles

Sécurité des données personnelles

Sécurité des données personnelles 1280 719 jeremy

La sécurité des données personnelles constitue un volet essentiel de la conformité. Les obligations se sont renforcées avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018.

Le RGPD dispose dans son article 32 que « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

La confiance passant par la sécurité, la Commission n’hésite plus à sanctionner les organismes lorsqu’il y a une atteinte grave à la sécurité des données des personnes concernées. C’est le cas par exemple pour SERGIC qui a été sanctionnée à 400 000€ d’amende pour atteinte à la sécurité et non-respect des durées de conservation ou encore Active Assurances qui a été condamné à régler la somme de 180 000€ pour atteinte à la sécurité des clients.

UBER a également été condamné à une lourde amende, 400 000€, pour avoir insuffisamment sécurisé les données des utilisateurs de son service VTC.

Afin d’éviter toute sanction relative à la sécurité des données personnelles, vous pouvez vous appuyer sur le guide de la sécurité des données personnelles consultable sur ce lien qui permet d’aider les professionnels dans leur mise en conformité que ce soit à la Loi Informatique et Libertés et au RGPD.

Pour en savoir plus, la CNIL met à disposition une check list permettant d’évaluer le niveau de sécurité des données personnelles de votre organisme, cliquez ici pour la consulter.

videosurveillance

Vidéosurveillance : Comment éviter une mise en demeure de la CNIL ?

Vidéosurveillance : Comment éviter une mise en demeure de la CNIL ? 1280 854 jeremy

La vidéosurveillance a fait l’objet, récemment, de nombreuses mises en demeure ou de sanctions de la part de la CNIL. En effet, le 18 juin 2019 UNIONTRAD COMPANY a été condamné à 20 000€ d’amende pour vidéosurveillance excessive des salariés. Le 24 juillet 2019, la CNIL met en demeure l’Institut des Techniques Informatiques et Commerciales (ITIC) pour avoir mis en place un système de vidéosurveillance excessif. Aussi, le 18 décembre 2019, la Présidente de la CNIL a mis en demeure cinq établissements scolaires pour vidéosurveillance excessive.

Alors, quelles sont les règles à respecter pour éviter une mise en demeure ou une sanction de la CNIL ?

Vidéosurveillance au travail 

Avant tout propos, un employeur doit définir un objectif légal et légitime avant toute installation de caméra dans ses locaux. Cet objectif légal et légitime peut être : la sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions.

Voici les règles à respecter lors de l’installation de dispositif de vidéosurveillance :
  • Les caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.
  • Elles ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières tels que les employés manipulant de l’argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier ou encore dans l’entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires.
  • Les caméras ne doivent pas non plus filmer les zones de pause ou de repos des employés, ni les toilettes.
  • Enfin, elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu’il ne mène qu’à ces seuls locaux.

Seules les personnes habilitées par l’employeur pourront visionner les images enregistrées.

En cas d’accès aux images à distance, l’employeur est tenu d’en sécuriser les accès notamment via un mot de passe robuste, une connexion sécurisée. Cet accès à distance ne doit jamais être utilisé pour surveiller les employés.

L’employeur devra définir une durée de conservation des images de vidéosurveillance. En principe, cette durée ne doit pas excéder un (1) mois.

Les personnes concernées (employés et visiteurs) devront être informées, au moyen de panneaux affichés en permanence, de façon visible, dans les lieux concernés, qui comportent a minima, outre le pictogramme d’une caméra indiquant que le lieu est placé sous vidéoprotection : les finalités du traitement installé ; la durée de conservation des images ; le nom ou la qualité et le numéro de téléphone du responsable/du délégué à la protection des données (DPO) ; l’existence de droits de la personne concernée.

Quelles sont les formalités à accomplir en amont de l’installation ?

Si les caméras filment un lieu non ouvert au public, aucune formalité n’est exigée auprès de la CNIL. En revanche, si les caméras filment un lieu ouvert au public, le dispositif doit être autorisé par le préfet du département.

Les instances représentatives du personnel devront être informées et consultées avant toute décision d’installation de caméras de vidéosurveillance.

A titre informatif, dès lors qu’un dispositif de vidéosurveillance conduit à la « surveillance systématique à grande échelle d’une zone accessible au public » une analyse d’impact devra être effectuée.

Pour en savoir plus, vous trouverez sur le site de la CNIL toutes les informations relatives à la vidéosurveillance au travail, dans les magasins, sur la voie publique, en cliquant sur ce lien suivant.

renseignements sur les administrés

Communiquer des informations sur les administrés : à qui et dans quelles conditions ?

Communiquer des informations sur les administrés : à qui et dans quelles conditions ? 1280 853 jeremy

Principe : Les collectivités territoriales ne sont pas habilitées à communiquer à des tiers les données personnelles qu’elles détiennent.

Exception : Certaines informations doivent être communiquées aux « tiers autorisés » tels que les autorités publiques ou certains auxiliaires de justice.

  1. Conditions de communication des données

La communication à des tiers autorisés n’est possible que lorsqu’elle est expressément autorisée par un texte de loi ou une obligation légale.

Pour chaque demande de communication, vous devez vérifier certains points :

  • La demande doit être écrite et son fondement légal doit être précisé. C’est à la collectivité territoriale de vérifier la conformité du fondement légal au regard des textes invoqués dans la demande de communication ;
  • La demande doit être présentée par une personne ayant qualité pour agir en application du texte fondant le droit de communication. La délivrance d’un document prouvant l’identité de la personne habilitée est facultative mais peut être toutefois exigée par le responsable de traitement ;
  • La fréquence et le périmètre de la demande de communication ne peut pas excéder les limites éventuellement prévues par le texte précité (par exemple, respect du secret médical) ;
  • Les modalités de transmission devront être sécurisées pour assurer la confidentialité des données (ex : remise en main propre, chiffrement des données, etc..) ;
  • Seules les informations strictement nécessaires à la demande doivent être communiquées ;
  • Une traçabilité devra être effectuée afin de prouver la transmission.
  1. Les tiers autorisés

Vous trouverez en suivant ce lien une liste non exhaustive de tiers autorisés à obtenir la communication de données.

  1. Les limites du droit de communications des tiers autorisés

La collectivité territoriale ne peut pas constituer des fichiers spécifiques pour la gestion des demandes, utiliser des fichiers non détenus en propre pour répondre aux demandes et collecter des données sans lien avec la finalité du fichier et permettant uniquement de répondre aux demandes.

  1. Droit de communication des tiers autorisés et droit d’accès aux documents administratifs

Le droit de communication par des tiers autorisés leur permet d’accéder à certaines catégories d’informations dans le cadre d’une procédure légale.

Le droit d’accès aux documents administratifs permet à toute personne d’accéder aux documents détenus par l’administration.

Pour en savoir plus, vous trouverez le guide de sensibilisation au RGPD pour les collectivités territoriales en cliquant ici.

données personnelles et prévention de la délinquance

Prévention de la délinquance par les mairies : Quelles sont les bonnes pratiques ?

Prévention de la délinquance par les mairies : Quelles sont les bonnes pratiques ? 1280 853 jeremy

Le Code de la sécurité intérieure confie au Maire des missions de prévention de la délinquance sur le territoire de la commune. Ces traitements de données peuvent porter sur des données sensibles ou concerner des personnes vulnérables au sens du RGPD. Voici un rappel des points de vigilance :

  1. Minimisation des données 

La CNIL a constaté que les Mairies faisaient une collecte systématique des données sensibles ou des données relatives à des infractions pénales. Pour rappel, ces données ne doivent être collectées uniquement lorsqu’elles sont nécessaires et indispensables pour le suivi de la personne concernée.

Bonne pratique : Veiller à ne collecter que les données strictement nécessaires aux objectifs poursuivis.

  1. Privilégier les fiches individuelles de suivi

La Commission a constaté que les champs « motifs de signalement » entrainaient l’insertion de données issues du fichier de police alors que la communication de ces éléments est limitée à certaines personnes. La CNIL a également constaté des commentaires subjectifs et inappropriés dans les fiches de suivi. En d’autres termes, l’usage de champs libres favorise une collecte excessive des données personnelles.

Bonne pratique : Eviter les fichiers collectifs de suivi tels que les tableurs afin de favoriser l’utilisation des fiches individuelles de suivi qui permettent de minimiser la collecte de données.

Concernant les motifs de signalement, il est préférable d’utiliser un système de cases à cocher avec une liste prédéfinie comme par exemple : police nationale, bailleurs, établissement scolaire, etc.. afin d’éviter les zones de commentaires libres. 

  1. Définir une durée de conservation

La CNIL s’est aperçue que les fiches individuelles ou collectives étaient conservées indéfiniment.

Bonne pratique : Il est indispensable de prévoir une durée de conservation uniforme avec des purges automatiques. Par exemple, vous pouvez définir une durée de conservation des fiches individuelles à la date de fin de suivi. A l’expiration, les données peuvent être archivées pendant trois (3) ans maximum.

  1. Informer les personnes concernées

La CNIL constate assez régulièrement une absence d’information des personnes concernées de leurs données personnelles.

Pour rappel, les personnes doivent être informées que leurs données sont collectées à des fins de prévention de la délinquance.

Bonne pratique : Il faut instaurer une double information des personnes, collective et individualisée. Par exemple, la Mairie peut intégrer sur son site Web, l’existence d’un traitement de données aux fins de prévention de la délinquance. Ensuite, elle devra également adresser un courrier à la personne concernée et/ou à son représentant légal afin de l’informer individuellement du traitement effectué.

  1. Sécuriser l’accès aux données 

Au regard de la sensibilité des données traitées, l’accès doit être strictement limité aux seules personnes habilitées.

Bonne pratique : Il faudra définir une politique de sécurité destinées à garantir la confidentialité des données. Ainsi, le Maire devra désigner les personnes habilitées à accéder aux données et mettre en œuvre des protections physiques et logiques adéquates. Les accès feront l’objet d’une traçabilité pour permettre au Maire de détecter les accès non autorisés.

Les échanges de données entre les acteurs devront également être sécurisés par un chiffrement ou un mot de passe.

Pour en savoir plus, vous pouvez consulter la Loi n°2007-297 du 5 mars 2007 relative à la prévention de la délinquance en cliquant ici.

Mais aussi, l’autorisation unique AU-038 qui n’a plus de valeur juridique mais qui reste accessible à titre informatif dans l’attente d’un nouveau référentiel en cliquant sur ce lien.

rgpd et appli médicale

Applications mobiles en santé et protection des données personnelles : les questions à se poser

Applications mobiles en santé et protection des données personnelles : les questions à se poser 1137 640 jeremy

Le développement d’un application « santé » nécessite de prendre en considération la protection des données personnelles collectées. Quelques questions à se poser :

  1. Champs d’application du RGPD et Loi Informatique et Libertés

Avant tout, il convient de vérifier si l’application mobile entre dans le champ d’application de la règlementation en matière de données personnelles.

  • Le RGPD ne s’applique pas si l’application mobile enregistre et conserve les données personnelles exclusivement localement dans un ordiphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.
  • A contrario, le RGPD s’applique si l’application propose des fonctionnalités permettant d’assurer un service à distance à son utilisateur ou qu’elle comporte une connexion extérieure. Une analyse d’impact devra être réalisée.
  1. Les finalités d’une application mobile et la nature des données collectées

Ensuite, il faudra s’assurer que les données recueillies soient collectées pour des finalités déterminées, explicites et légitimes. Cela peut être, par exemple, pour assurer un suivi des patients, la télésurveillance, la téléconsultation, la téléexpertise (suivi des cas cliniques et avis des professionnels), etc…

L’identification de la ou les finalité(s) de l’application mobile devra être fait en amont de sa conception pour pouvoir éventuellement apprécier les données pertinentes à collecter.

Les données collectées peuvent être des données de santé c’est-à-dire des données dites « sensibles » au sens du RGPD. Par conséquent, ces données feront l’objet d’un régime juridique de protection renforcées par diverses règlementations. Les données collectées par l’application mobile devront être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

  1. Le responsable de traitement

Il faudra déterminer qui est le responsable de traitement. En règle générale, c’est celui qui détermine les finalités et les moyens de l’application mobile.

  1. Les mesures de sécurité

Le Responsable de traitement devra mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles. C’est au Responsable de traitement que revient la charge de s’assurer de la confidentialité et la sécurité des informations des utilisateurs de l’application mobile.

Si vous faites appel à des sous-traitants, il vous faudra contractualiser votre relation afin de déterminer les responsabilités et les obligations de chacun puisque le sous-traitant doit également veiller à la sécurité des données personnelles.

  1. La durée de conservation 

Toutes les informations personnelles qui pourront être collectées, devront être conservées pour une durée limitée qui ne peut dépasser la durée nécessaire à la finalité du traitement. Il vous faudra alors, déterminer une durée de conservation uniforme.

  1. Consentement préalable des utilisateurs

Le consentement de la personne devra être préalablement recueilli si et seulement si l’application mobile est une application de bien être c’est-à-dire pour mieux gérer sa santé, sa qualité de sommeil, etc..  En revanche, si l’application mobile est utilisée comme un outil de prise en charge sanitaire comme la télésurveillance médicale par exemple, alors le consentement préalable de l’utilisateur n’est pas nécessaire.

  1. Les droits des personnes

Les utilisateurs de l’application mobile doivent toujours avoir la possibilité d’exercer de manière effective leur droits. Pour cela, vous allez devoir les informer qu’ils disposent : accès, rectification, limitation, opposition, suppression, portabilité et mort numérique. Cette information devra être suffisamment complète, claire et lisible.

Pour en savoir plus, vous trouverez un référentiel de bonnes pratiques sur les applications et les objets connectés en santé élaboré par la Haute Autorité de Santé en cliquant ici.

cookies et site internet

Avez-vous des cookies sur vos sites internet ?

Avez-vous des cookies sur vos sites internet ? 960 639 jeremy
RECOMMANDATIONS DE LA CNIL POUR L’UTILISATION DES COOKIES :

Le 4 juillet 2019, la CNIL publie des lignes directrices sur l’application de l’article 82 de la loi du 6 janvier 1978 qui encadre les actions visant à accéder ou à inscrire des informations dans le terminal d’un utilisateur telles que le dépôt ou la lecture de cookies ou d’autres traceurs lorsque l’internaute se rend sur un site internet.

L’objectif de ces traceurs peut-être par exemple : mesurer l’audience du site, adresser de la publicité ou interagir avec des réseaux sociaux. Le consentement de l’utilisateur sera obligatoire dès lors que le cookie n’est pas nécessaire au fonctionnement du site en question.

Dans un communiqué en date du 28 juin 2019, la CNIL annonce son projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet sera soumis à consultation publique jusqu’au 25 février 2020, en vue de la préparation de la version définitive de la recommandation.

Selon une étude réalisée par l’IFOP, il en ressort que 65% des personnes indiquent avoir déjà accepté des cookies alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus. 65% des personnes interrogées estiment que les demandes d’autorisation actuelles ne sont pas efficaces.

Par conséquent, la CNIL exige désormais un consentement libre, spécifique, éclairé et univoque.

La CNIL a estimé que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». La commission ordonne désormais un acte positif.

Le consentement ne peut être valide que si l’utilisateur est en mesure d’exercer librement son choix. Tout d’abord, le responsable du ou des traitements devrait offrir à l’utilisateur tant la possibilité d’accepter que celle de ne pas accepter (en d’autres termes, de refuser) les opérations de lecture et/ou écriture.

L’utilisateur ne devrait pas subir de préjudice s’il choisit de refuser. Ainsi, le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur. La commission rappelle que « la pratique qui consiste à bloquer l’accès à un site ou à une application mobile pour qui ne consent pas à être suivi n’est pas conforme au RGPD ».

Enfin, ces interfaces ne devront pas utiliser de pratiques de design potentiellement trompeuses, telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.

L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Ainsi, le simple fait d’accepter les conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique. L’utilisateur devra être informé, de manière claire et précise, des finalités. Celles-ci devront être accessibles pour l’utilisateur et non pas noyées dans des conditions générales.

Pour connaitre en détail le projet de recommandation, cliquez sur ce lien

Pour consulter l’étude réalisée par l’IFOP, cliquez ici.

Optimex Data agence spécialisée Solutions RGPD

Actus RGPD

Actus RGPD 1320 742 jeremy

Optimex Data a participé à la grande enquête que lance le Ministère du Travail et l’AFCDP sur le métier de DPO

La Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) du Ministère du Travail a confié à l’Agence Nationale pour la Formation Professionnelle (l’AFPA) la réalisation d’une étude de grande ampleur sur la fonction de DPO. Cette étude s’appuie sur un questionnaire en ligne conçu conjointement avec l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel). Elle permettra de mieux connaitre le métier de DPO et les conditions d’exercice au sein des structures employeuses ou en tant que DPO externe. Cette initiative a reçu le plein soutien de la CNIL.

En tant que DPO externe, Optimex Data a participé à cette enquête en répondant au questionnaire en ligne.

Les adhérents de l’AFCDP bénéficieront d’une présentation des résultats détaillés de cette enquête lors de l’une des manifestations organisées par l’association. Optimex Data vous communiquera ensuite les conclusions de cette enquête.


Bientôt la certification CNIL

Face à la multitude de DPO et au développement de cette activité, la CNIL a décidé d’encadrer ce nouveau métier. Elle a permis d’adopter des référentiels de certification, et d’agréer les organismes chargés de délivrer cette certification. La CNIL a mis en place deux référentiels :

  • un référentiel de certification qui fixe notamment les conditions de recevabilité des candidatures et la liste des 17 compétences et savoir-faire attendus pour être certifié en tant que DPO. Ce référentiel est prévu pour les personnes physiques.
  • un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification élaboré par la CNIL.

La liste des organismes habilités à la certification des compétences devrait bientôt être dévoilée afin de mettre en place le référentiel de certification de DPO dans les mois à venir.

Toute l’équipe Optimex Data passera la certification afin de vous apporter un gage de confiance supplémentaire dans le cadre de nos prestations.


Mises en demeures prononcées par la CNIL : des applications mobiles partagent des données avec Facebook sans le consentement des utilisateurs

La CNIL a mis en demeure et contraint plusieurs startups de la géolocalisation à changer leurs pratiques en matière de traitement des données et de recueil du consentement. Ces procédures ont mis en lumière le goût prononcé des éditeurs d’applis mobiles pour les SDK (software Development kit), des composants logiciels implémentés dans le code des apps.

Facebook comprend des SDK, qui proposent des outils comme « app events » pour la publicité sur mobile. De nombreuses apps mobiles embarquent ces couches logicielles. Combien en informent leurs utilisateurs ? En Europe, RGPD oblige, l’utilisateur doit être préalablement informé et accorder un consentement éclairé à cette collecte.

Cependant la pratique n’est pas forcément répandue, certaines apps collectent des données sensibles et éminemment personnelles, dont une partie est ensuite transmise à Facebook, que l’utilisateur ait ou non un compte sur la plateforme.

La CNIL rappelle que les mises en demeures ne sont pas des sanctions. Cependant, celles-ci étant publiques, elles peuvent avoir un impact commercial négatif sur les sociétés rappelées à l’ordre.