fbpx

Actualité DPO

optimex data agence spécialisée dans la protection des données personnelles

Avez-vous l’obligation de réaliser un analyse d’impact ?

Avez-vous l’obligation de réaliser un analyse d’impact ? 1320 880 jeremy

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

L’AIPD est un élément central du RGPD, et un outil important pour la responsabilisation des organismes : elle leur permet de construire des traitements de données respectueux de la vie privée, mais également à démontrer leur conformité au RGPD. C’est au responsable de traitement de mesurer, à travers l’analyse d’impact, l’échelle du risque en termes de gravité et de vraisemblance. Par exemple, il est possible d’évaluer le risque pour la vie privée des patients d’un hôpital suite un piratage d’une base de données contenant des données médicales. Ce risque pourrait être estimé comme particulièrement grave (conséquences graves pour les patients) mais peu vraisemblable (dans la mesure où les logiciels d’hébergement des données de santé sont bien protégés).

Pas facile cependant de déterminer si nous sommes dans l’obligation de réaliser une analyse d’impact. Comment juger si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ?

Pour répondre à cette interrogation et accompagner les responsables de traitement dans leur réflexion, la CNIL a précisé les conditions dans lesquelles l’analyse d’impact est obligatoire :

  • Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. C’est le cas par exemple pour les traitements mis en œuvre par les hôpitaux, pour les analyses comportementales sur les réseaux sociaux, ou pour la publicité ciblée en ligne.
  • Lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD (Comité européen de la protection des données), par exemple s’il porte sur des données dites « sensibles » ou « à caractère hautement personnel », sur des personnes dites « vulnérables » (patients, personnes âgées, enfants, etc.), ou encore lorsque le traitement consiste en une collecte de données personnelles à large échelle.

A noter : La CNIL classe les salariés dans les « personnes vulnérables ». Par exemple, un système de géolocalisation des véhicules du personnel à large échelle doit faire l’objet d’une analyse d’impact.

Pour conduire une telle analyse, le responsable de traitement fait appel au délégué à la protection des données (DPO), chargé de le conseiller et de vérifier l’exécution du travail.

Pour accompagner les organismes, la CNIL met à disposition un logiciel PIA.

optimex data agence spécialisée dans la protection des données personnelles

La 1ère sanction RGPD de la CNIL : Google

La 1ère sanction RGPD de la CNIL : Google 1320 742 jeremy

Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé sa première condamnation dans le cadre du régime RGPD. Cette condamnation intervient suite aux plaintes collectives, qui ont fédéré plus de 10 000 signataires, déposées devant la CNIL par les associations None of Your Business (porté par le célèbre activiste autrichien Maximilian Schrems) et La Quadrature du Net, au mois de mai 2018, soit quelques jours seulement après l’entrée en application du RGPD.

Les motifs de la sanction :

Les deux associations invoquaient plusieurs griefs à l’encontre de la société Google LLC : elles lui reprochaient tout d’abord de ne pas demander le consentement aux utilisateurs pour leur proposer des publicités personnalisées. De plus, Google n’indique pas clairement la finalité de cette collecte de données, la durée de conservation de ces données, ni même le type de données utilisées pour la personnalisation des publicités. L’utilisateur n’est par ailleurs pas clairement informé du nombre de services concernés par cette collecte de données, et son consentement n’est pas recueilli de façon explicite (l’affichage des annonces personnalisées est pré-coché par défaut).

La CNIL a tout d’abord estimé que les informations fournies aux utilisateurs ne répondent pas aux exigences d’accessibilité, de clarté et de compréhension imposées par le RGPD et certaines d’entre elles, rendues obligatoires par le Règlement (article 12 et 13 du RGPD), font défaut. La CNIL constate que ce défaut de clarté nuit à la communication d’un consentement « éclairé », « univoque » et « spécifique » de la part de l’intéressé.

Le montant de la sanction :

Pour tous ces motifs, la CNIL a choisi de prendre une sanction exemplaire à l’encontre de la société Google LLC : une amende de 50 millions d’euros, ce qui représente la sanction pécuniaire la plus élevée jamais infligée par l’autorité. Si la somme semble dérisoire pour la société Google LLC, elle n’en demeure pas moins un sérieux avertissement pour les grands opérateurs. Il convient tout de même de préciser que Google a décidé de former un recours contre cette décision de la CNIL devant le Conseil d’État, comme la procédure administrative de sanction le lui permet. Affaire à suivre…

Au-delà de l’aspect financier d’une telle sanction, beaucoup d’importance a été accordée à la communication et la publicité d’une telle sanction, qui a fait vibrer le monde juridique et numérique. La CNIL est attachée à nommer les entreprises contrevenantes, afin d’informer les individus concernés. Pas sur que le comportement du géant américain véhicule une image de défenseur de la vie privée et renforce la confiance de ses utilisateurs…

optimex data agence spécialisée dans la protection des données personnelles

Quels changements avec l’ordonnance de réécriture de la loi informatique et libertés ?

Quels changements avec l’ordonnance de réécriture de la loi informatique et libertés ? 1320 880 jeremy

L’ordonnance n°2018-1125 du 12 décembre 2018 a été publiée le 13 décembre 2018. Elle parachève le processus législatif de réécriture et de simplification de la loi informatique et Libertés, initié après la mise en application du Règlement général sur la protection des données (RGPD) et la transposition de la directive « police-justice » applicable à la sphère pénale.

L’adaptation du cadre juridique français permet d’assurer pleinement la conformité du droit national par rapport au cadre européen. Après l’entrée en application du RGPD le 25 mai 2018, la loi informatique et Libertés avait déjà subi des modifications (loi n°2018-493), l’objectif étant de mettre en conformité le droit français.

L’ordonnance permet d’apporter une cohérence inhérente à la bonne compréhension du cadre juridique global relatif à la protection des données personnelles. A la lecture de l’ordonnance, trois objectifs majeurs ont été atteints :

  • Une meilleure lisibilité de la loi française
  • Une homogénéité par rapport au cadre européen
  • Une clarification de certains régimes juridiques

Pour les TPE et petites collectivités :

Le législateur semble s’être néanmoins concentré sur la forme plutôt que sur le fond : les obligations ou régimes spécifiques pour les petites entreprises ou les petites collectivités n’ont pas été expressément indiquées, comme l’avait demandée la CNIL dans son avis du 30 novembre 2017. La loi demeure générale et il appartiendra au juge d’interpréter l’applicabilité de certaines dispositions dans des cas très concrets.

L’encadrement du traitement du numéro de sécurité sociale :

Des décrets en Conseil d’Etat doivent voir le jour prochainement. On attend impatiemment celui qui détermine les responsables de traitements autorisés à traiter le numéro de sécurité sociale et les finalités au vu desquelles ce dernier peut être traité (cf. art. 30 ordonnance).

Le renforcement des droits et libertés des individus :

Globalement, on assiste à un renforcement considérable des droits et libertés des individus. L’ordonnance entérine l’interdiction d’utilisation de l’intérêt légitime pour traiter des données de mineurs et prévoit que la CNIL peut obliger une entreprise à informer, à ses frais et individuellement, chaque personne victime d’une violation de données.

L’information contenue sur les sites internet ou dans les formulaires doit être accessible notamment au mineur adolescent, et fait peser sur les entreprises une obligation juridique de facilitation d’accès à l’information afin de préserver la liberté de choix des individus.

La clarification de la « mort numérique » :

L’ordonnance clarifie également le régime juridique des données personnelles des personnes décédées (cf. art. 84 et s. ordonnance) et prévoit des obligations spécifiques pour les opérateurs de communications électroniques (cf. art. 83 ordonnance). L’ordonnance illustre par cette disposition son avancement et son anticipation par rapports aux avancées technologiques futures.

Cette ordonnance entrera en vigueur au plus tard en juin 2019, en même temps qu’un nouveau décret d’application.

optimex data agence spécialisée dans la protection des données personnelles

Actualité DPO – Février 2019

Actualité DPO – Février 2019 1320 859 jeremy

Avez-vous l’obligation de réaliser un analyse d’impact ?

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer …

En savoir plus …


Quels changements avec l’ordonnance de réécriture de la loi informatique et libertés ?

L’ordonnance n°2018-1125 du 12 décembre 2018 a été publiée le 13 décembre 2018. Elle parachève le processus législatif de réécriture et de simplification de la loi informatique et Libertés, initié après la mise en application du Règlement général sur la protection des données …

En savoir plus …


Le Japon reconnu « pays adéquat » pour les transferts hors UE

Avec l’accord historique de partenariat économique passé entre l’Union Européenne et le Japon (Japan-EU Free Trade Agreement – JEFTA) qui a été signé le 17 juillet 2018 et qui entre en vigueur en février 2019, les économies européennes et japonaises ont prouvé leur volonté d’encourager …

En savoir plus …


La 1ère sanction RGPD de la CNIL : Google

 Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé sa première condamnation dans le cadre du régime RGPD. Cette condamnation intervient suite aux plaintes collectives, qui ont fédéré plus de 10 000 signataires, déposées devant la CNIL …

En savoir plus …


Vous réalisez une démarche à la place d’une personne en utilisant ses données ?

La CNIL a mis à disposition, par le biais de son site internet, un modèle de mandat permettant d’encadrer l’utilisation des données des bénéficiaires par le professionnel. De manière générale, le modèle de mandat a été prévu pour les professionnels du secteur social. Or, après confirmation …

En savoir plus …


Le RGPD en chiffres…

  • Du côté des professionnels:
    • 32000 organismes ont désigné un DPO (15 000)
    • 1000 notifications de violations de données (7/jour depuis le 25 mai)
    • 178000 appels depuis 01/2018
    • 246000 consultations en ligne
    • 7 millions de visite sur le site CNIL
    • 130000 téléchargements de l’outil PIA
  • Du côté des particuliers:
    • 6000 plaintes depuis le 25 mai 2018
    • Plaintes collectives – 45 000 personnes (Quadrature du Net)
  • Du côté des autorités de protection des données:
    • 4 plénières du CEPD depuis mai 2018
    • 19 lignes directrices
    • Proposition de règlement en matière d’accès aux preuves électroniques
  • Du côté de la CNIL:
    • Publication de la liste des traitements devant faire l’objet d’une analyse d’impact
    • Consultation sur un règlement-type biométrie
    • Consultation sur 5 référentiels :
      • Gestion clients et prospects
      • Gestion des impayés
      • Vigilances sanitaires
      • Ressources humaines
      • Gestion des cabinets médicaux
    • Une dizaine de codes de conduite portant sur :
      • La recherche médicale
      • Les infrastructures dites de « cloud »
optimex data agence spécialisée dans la protection des données personnelles

Le Japon reconnu « pays adéquat » pour les transferts hors UE

Le Japon reconnu « pays adéquat » pour les transferts hors UE 1320 881 jeremy

Avec l’accord historique de partenariat économique passé entre l’Union Européenne et le Japon (Japan-EU Free Trade Agreement – JEFTA) qui a été signé le 17 juillet 2018 et qui entre en vigueur en février 2019, les économies européennes et japonaises ont prouvé leur volonté d’encourager leurs échanges réciproques en se créant de nouvelles opportunités d’exportation. Un tel accord de libre-échange engendre inévitablement un flux important de données personnelles et nécessite un assouplissement du cadre juridique régulant les transferts de données personnelles.

L’enjeu pour le Japon :

Tout l’enjeu est alors pour le Japon de prouver que sa législation garantit un niveau protection équivalent au RGPD. La reconnaissance de l’adéquation d’un Etat tiers, implique notamment l’examen de ses engagements internationaux relatifs à la protection des données à caractère personnel, ainsi que l’analyse de sa participation à des systèmes multilatéraux ou régionaux en matière de protection des données personnelles. Depuis l’entrée en vigueur du RGPD, c’est à la seule Commission européenne qu’il revient de constater que le pays tiers en question, assure un niveau de protection adéquat. A l’heure actuelle, à l’échelle mondiale, la liste des pays reconnus « adéquats » n’est pas longue (seuls 12 Etats sont considérés comme tel, dont deux le sont « en partie » seulement), la CNIL explique alors que : « les transferts de données personnelles vers ces pays ne nécessitent pas d’encadrement par des outils de transfert » les échanges entre l’UE et ces Etats sont libres.

L’opportunité pour les entreprises européennes :

Depuis le 24 janvier 2019, le Japon a rejoint la liste de privilégiés, puisque la Commission a pris à son égard une décision d’adéquation libéralisant les flux de données personnelles. En effet, la modernisation récente de sa législation en matière de protection des données (notamment par la création d’un mécanisme de traitement des plaintes en cas d’accès aux données par les autorités publiques nippones, ou encore l’aménagement de règles additionnelles dans son cadre juridique relatif à la protection des données), a permis à la Commission européenne de considérer que : « la convergence entre les deux systèmes (Union européenne et Japon) a progressé ». Dès lors, comme le déclare Věra Jourová, commissaire européenne chargée de la justice et des consommateurs, « cette décision d’adéquation donne naissance au plus grand espace au monde de flux sécurisés de données ». En effet, si l’Union européenne se voit offert un accès privilégié à un marché de 127 millions de consommateurs, le Japon va également pouvoir profiter plus aisément des transferts de données de l’espace économique européen, fort d’un demi-milliard de citoyens européens.

optimex data agence spécialisée dans la protection des données personnelles

Vous réalisez une démarche à la place d’une personne en utilisant ses données ?

Vous réalisez une démarche à la place d’une personne en utilisant ses données ? 1320 805 jeremy

La CNIL a mis à disposition, par le biais de son site internet, un modèle de mandat permettant d’encadrer l’utilisation des données des bénéficiaires par le professionnel.

De manière générale, le modèle de mandat a été prévu pour les professionnels du secteur social. Or, après confirmation auprès du service DPO de la CNIL, il est tout à fait autorisé d’utiliser ces mandats dans d’autres secteurs d’activité.

En effet, certains professionnels (comme les experts comptables) accompagnent quotidiennement les usagers dans leurs démarches en ligne, que ce soit en leur présence ou en leur absence.

Ainsi, l’utilisation de ce mandat nécessite que l’usager, le client donne explicitement son consentement par le biais d’un accord écrit qu’est le mandat.

Précisément, il convient de remplir une obligation d’information pour garantir la validité du consentement de l’usager.

Pour cela, il appartient au professionnel d’expliquer :

  • L’objet de l’intervention ;
  • La raison pour laquelle les informations du client, de l’usager sont collectées et leur utilité ;
  • L’existence de droits sur ses données (accès, rectification, suppression, etc.) ;
  • La possibilité pour l’usager, le client de retirer à tout moment son consentement.

Enfin, bien que le consentement soit valide, il convient impérativement de garantir la confidentialité et la sécurité des données mais aussi de faire preuve de transparence dans le traitement des données personnelles de l’usager, du client.

Ce modèle de mandat s’avère particulièrement utile pour les travailleurs sociaux qui font des démarches à la place des usagers (déclaration CAF, demandes de prestations sociales)

Il est également obligatoire pour les experts comptables, lorsqu’ils font des démarches à la place de leur client (déclaration en utilisant l’identifiant et mot de passe du client par exemple).

https://www.cnil.fr/fr/professionnels-du-secteur-social-comment-mieux-proteger-les-donnees-de-vos-usagers/