Bureau H.

Conseil en protection des données personnelles

Un responsable de traitement sanctionné pour ne pas avoir suffisamment impliqué son DPO

L’autorité de contrôle luxembourgeoise, la CNPD, a infligé une amende de 18 000€ à un responsable de traitement pour avoir manqué à son obligation de fournir à son délégué à la protection des données (DPD ou DPO) les ressources nécessaires à l’accomplissement de ses tâches.

En effet, l’article 38.2 du RGPD exige que l’organisme assiste son DPO  » à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ses missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.  »

En l’espèce, un groupe de sociétés a nommé un DPO pour gérer les problématiques relatives à la protection des données à la fois de l’entité centrale et de sa filiale luxembourgeoise. Au Luxembourg, le DPO ne disposait que d’un seul point de contact local qui était  » par ailleurs l’unique juriste du contrôle « .

Il est à noter également qu’il n’y avait pas de remontée directe d’information du DPO vers la direction locale de contrôle au Luxembourg. Or, la CNPD a estimé que la mission d’information du DPO à l’égard du responsable de traitement était intimement liée à l’obligation prévue à l’article 38.1, à savoir associer le DPO de manière appropriée et en temps utile à toutes les questions relatives à la protection des données personnelles.

Ainsi, la formation restreinte a considéré que le prononcé d’une amende administrative était justifié pour manquement aux articles 38.1, 38.2 et 39.1 a) du RGPD.

Quant aux mesures correctives, la CNPD ordonne au responsable de traitement de se mettre en conformité aux dispositions précitées dans un délai de quatre mois et de  » s’assurer que le DPD soit effectivement associé à toutes les questions relatives à la protection des données à caractère personnel, et ceci en toute indépendance  » et qu’il puisse  » remplir sa mission d’information et de conseil envers le responsable du traitement contrôlé « .

Morale de l’histoire ? Il ne suffit pas de juste désigner un DPO. Encore faut-il que ce dernier soit effectivement en mesure d’accomplir ses missions.

Notre équipe remporte le premier prix du challenge dathack !

Propulsé par le cabinet DPO Consulting, Dathack est un challenge d’innovation portant sur le thème des  » Nouveaux usages et protection des données « . C’est une première dans le monde de protection des données personnelles !

La première édition a été remportée par l’équipe Jupiter lors de la Grande finale qui s’est déroulée à Paris le 21 mai 2021, soit quelques jours avant la date anniversaire de l’entrée en vigueur du RGPD.

Composée de trois juristes et d’une informaticienne, l’équipe gagnante a présenté son projet de développement d’une application web dont le but est de permettre aux utilisateurs de créer et de mettre à jour facilement leurs clauses contractuelles types (CCT) de manière à tenir compte de l’entrée en vigueur des nouvelles CCT courant 2021, à la suite de la décision « Schrems II ».

Si l’équipe Jupiter vise à séduire surtout les TPE et les PME, l’application ne leur est pas pour autant exclusivement réservées et les entreprises de toutes tailles, voire les cabinets d’avocats peuvent l’utiliser.

Source : https://dathack.agorize.com/fr/challenges/dathack-mind-the-gap
Sorry! This product is not available for purchase at this time.

CONFORMITÉ DES SITES WEB : la date butoir approche

Sorry! This product is not available for purchase at this time.

Vous avez jusqu’au 31 mars 2021 pour mettre votre site web en conformité avec les directives de la CNIL.

Bureau H. est à votre disposition pour effectuer un audit de votre site (vitrine ou marchand) et/ou proposer des recommandations 😉

Données personnelles et email

Question du jour : comment stockez-vous les données personnelles que vous collectez ? Cette question en amène une autre : que faites-vous pour garantir leur sécurité ?

La Data Protection Commission (l’équivalent irlandais de la CNIL française) n’a pas vraiment apprécié les réponses fournies par l’université de Dublin (University College Dublin). Cette dernière s’est vu infliger une amende de 70 000€ et un sacré coup pour son réputation.

Il se trouve que l’université stockait des informations à caractère personnel directement sur son compte de messagerie sans avoir mis en place des mesures de sécurité appropriées permettant ainsi aux personnes non autorisées d’accèder aux données.

De plus, cette faille de sécurité n’a été notifiée à la DPC que 13 jours après sa découverte alors que le délai légal est de 72 heures. Ouch !

CNIL et Vaccin Covid

Comme attendu, la CNIL vient de se prononcer sur le système d’information intitulé « Vaccin Covid ».

Le contexte oblige, ce dernier comprend des informations sur les personnes vaccinées (ou invitées à être vaccinées) pour organiser la campagne de vaccination, le suivi de l’approvisionnement en vaccins et consommables ainsi que la réalisation de recherches et du suivi de pharmacovigilnce.

Il est précisé toutefois que ce dispositif ne sera pas étendu à d’autres vaccinations.

Voici les données qui seront collectées :

  • l’identité et les coordonnées des personnes concernées
  • le numéro de sécurité sociale (NIR)
  • les données de santé : les critères d’éligibilité à la vaccination déterminés par le ministère de la santé

Ces données sont protégées par le secret médical et traitées par des personnes habilitées et soumises au secret professionnel. Seront également collectées les données relatives aux professionnels de santé et personnes placées sous leur responsabilité.

Quid de la conservation ?

Les données seront conservées pendant une durée de dix ans.

En revanche, les données nécessaires à la prise en charge des personnes vaccinées en cas d’identification de risques nouveaux seront conservées par la direction du numérique des ministères chargés des affaires sociales (DNUM) pendant trente ans.

Qu’en est-il des droits des personnes concernées ?

Elles bénéficient d’un droit d’accès, de rectification et de limitation qu’elles pourront exercer auprès du directeur de leur organisme d’assurance maladie de rattachement.
Elles peuvent également s’opposer au traitement de leurs données jusqu’à l’expression de leur consentement à la vaccination.
Par ailleurs, le droit d’opposition ne s’appliquera qu’au traitement des données réalisé avant la vaccination si celle-ci n’a pas lieu.

Cookies : une amende record contre Google

10 décembre 2020

Si vous estimez toujours que le cookies ne sont qu’un problème secondaire, détrompez-vous.

Si la CNIL a notamment sanctionné ce matin la société Google (100 millions €), c’est qu’il y a une raison à cela.

Il est reproché à Google les manquements suivants :

— dépôt de cookies sans recueil préalable du consentement de l’utilisateur :

Il est interdit de déposer des cookies publicitaires avant d’avoir recueilli le consentement des internautes, on l’a assez répété.

— défaut d’information des utilisateurs du moteur de recherche :

Le bandeau qui apparait au pied de page ne fournit aucune information relative aux cookies alors même que ces derniers étaient déjà déposés dès l’arrivée sur le site. Pas de commentaire.

— défaillance partielle du mécanisme « d’opposition » :

Même lorsque l’utilisateur désactivait la personnalisation des annonces, un des cookies publicitaires restait stocké sur son ordinateur. La logique ? Non, jamais entendu parler.

Conseil pour les professionnels (mais pas que) : mettez votre site en conformité dès maintenant. La protection des données personnelles est un enjeu crucial, certes, mais c’est également votre image qui est en jeu !

Désolée pour ce jeu de mots.

Un médecin écope d’une amende de 600€ pour avoir publié les données de ses patients sur Facebook.

6 décembre 2020

Décidément, on aura tout vu.

Entre février et juin 2020, un médecin a publié des informations sur ses patients sur sa page Facebook. Les informations en question contenaient des données sensibles à savoir des données de santé, le nom, le numéro de sécurité sociale, des extraits des lettres, des rapports médicaux ou encore lse noms des autres professionnels de santé ayant traité ces mêmes patients.

L’autorité de contrôle autrichienne (Datenschutzbehörde – DSB) a condamné le médecin à une amende de 600€ pour avoir violé les articles 5.1, 9.1 et 2 du RGPD.

Il a été relevé que les patients n’avaient pas donné leur consentement explicite à la publication en ligne de leurs données. Or, en l’espèce et conformèment à l’article 9.2, le consentement constituait bel et bien la seule base légale permettant de mettre en place un tel traitement de données :

Rappel de l’article 9 :

 » Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.   Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie:

a)la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

… ».

Le groupe Carrefour sanctionné par la CNIL

26 novembre 2020

La CNIL a sanctionné deux sociétés du groupe Carrefour pour des manquements à l’obligation d’informer les personnes et des manquements relatifs aux cookies.

Quelques illustrations :

Concernant l’obligation d’informer, il a été constaté que l’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr n’était pas assez accessible car jugée trop compliquée du fait, notamment, de la taille des documents, incompréhensible et incomplète en ce qui concerne la durée de conservation des données.
L’information s’est trouvée également insuffisante sur le site carrefour.fr en ce qui concerne les transferts de données hors UE et la base légale des traitements.

De plus, il a été relevé que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient déposés sur son terminal sans aucune action préalable de sa part. Or, plusieurs cookies servaient principalement à la publicité et le consentement préalable aurait dû être recueilli par Carrefour.

L’obligation de faciliter l’exercice des droits n’a pas non plus été respectée. En effet, la société exigeait quasi systématiquement un justificatif d’identité pour toute demande d’exercice de droit alors même qu’il n’existait aucun doute quant à l’identité du demandeur.

Résultat des courses : sanctions de 2 250 000 € et de 800 000 €.

Le code IDFA mis à mal par l’association noyb

L’IDFA (Apple’s Identifier for Advertisers) permet à Apple et aux différentes applications de surveiller les utilisateurs et de combiner les informations sur leur comportement en ligne.
Un tel traitement de données ne devrait être pas mis en place sans le consentement préalable de l’utilisateur. Or, Apple dépose ses traceurs sans l’accord de ce dernier.

C’est la raison pour laquelle l’association NOYB fondée par l’activiste Max Schrems a décidé de porter plainte à l’encontre du géant américain dans deux pays européens : l’Allemagne et l’Espagne.

L’iOS d’Apple génère automatiquement un traceur unique (IDFA) pour chaque iPhone. Celui-ci permet d’identifier l’utilisateur et de surveiller son comportement.
Pour rappel, l’article 5.3 de la directive e-Privacy encadre strictement ce genre de pratique : un consentement informé et univoque est exigé.

Étant donné que la plainte est fondée sur la directive e-Privacy et non sur le Règlement général sur la protection des données (RGPD), aucune coopération entre les autorités de contrôle allemande et espagnole n’est nécessaire. Elles sont donc en mesure de prononcer une sanction directement contre Apple.
La procédure s’annonce ainsi moins lourde et longue.

Action de groupe lancée contre Salesforce et Oracle : pourquoi ?

Selon les premiers calculs, ces plaintes pourraient coûter cher à ces deux entreprises californiennes : le montant des amendes dépasserait 10 milliards € ! Salesforce et Oracle sont accusés de ne pas respecter les dispositions du RGPD mais également de vendre de la publicité grâce au partage des données personnelles des internautes.

Le schéma est plutôt simple : ces entreprises utilisent leurs cookies BlueKai et Krux pour suivre, surveiller et collecter les données personnelles des utilisateurs. Ces données sont ensuite partagées dans des enchères en temps réel. Les cookies en question sont hébergés sur un certain nombre de sites web bien connus comme Ikea ou Dropbox. Impossible donc d’y échapper.

Pourquoi est-ce génant ?

Peu d’internautes se rendent compte de l’impact réel des cookies. Ces petits fichiers servent surtout à créer votre dossier individuel, basé essentiellement sur votre profil consommateur. Quelles recherches avez-vous effectuées récemment ? Quels sites avez-vous visités ? Savez-vous que toutes ces informations sont régulièrement échangées à votre insu sans que vous n’ayez la possibilité de vous y opposer ?

Health Data Hub : la demande de suspension rejetée

Le 13 octobre 2020, le juge des référés du Conseil d’État a rejeté la demande de suspension de la plateforme Health Data Hub hébergée par la filiale du géant américain Microsoft.
La plateforme en question regroupe les données de santé des patients soignés sur le territoire français.

Toutefois, le juge observe que les données personnelles hébergées aux Pays-Bas dans le cadre d’un contrat avec Microsoft ne peuvent légalement être transférées en dehors de l’Union européenne. Effectivement, l’accord Privacy Shield qui servait de fondement aux transferts de données personnelles vers les États-Unis a été invalidé par une décision de la Cour de justice de l’UE le 16 juillet 2020.

EN SAVOIR PLUS SUR le PRIVACY SHIELD

Cela étant, il existe un risque que les services de renseignement américains demandent l’accès aux données de santé contenues sur la plateforme. Il a été néanmoins jugé qu’un tel risque n’est pas de nature à justifier la suspension immédiate de Health Data Hub.

C’est dans ce contexte que le Conseil d’État préconise de prendre des précautions particulières sous le contrôle de la CNIL.

Affaire à suivre.

35 millions d’euros d’amende pour H&M

LIRE LA SUITE

Nouvelles recommandations de la CNIL relatives aux cookies

La délibération du 17 septembre 2020 nous livre de nouvelles lignes directrices portant sur les cookies et autres traceurs. Les éditeurs des sites web ont jusqu’à la fin du mois de mars 2021 pour se mettre en conformité. Éléments à retenir :

  • le consentement au dépôt de traceurs doit se manifester par un acte clair et positif et pouvoir être retiré aisément à tout moment.
  • la poursuite de la navigation ne constitue pas un consentement valide au dépôt de cookies.
  • l’utilisateur doit être informé des finalités de chaque cookie avant de donner son consentement à leur dépôt.
  • l’éditeur du site doit pouvoir prouver que le consentement de l’utilisateur a été libre, éclairé, spécifique et univoque.
  • il est recommandé de prévoir un bouton  » Tout refuser  » et un bouton  » Tout accepter « .
  • l’éditeur du site doit pouvoir conserver le choix effectué par l’utilisateur pendant un certain délai.

On ne badine pas avec la prospection commerciale : 500 000€ d’amende pour non-respect du RGPD. retour sur un exemple à ne surtout pas suivre …

En novembre 2019, l’entreprise Futura Internationale a écopé d’une amende d’un montant inouï pour avoir enfreint aux règles du Règlement général sur la protection des données (RGPD). Notons au passage que le chiffre d’affaires dégagé par l’entreprise en question en 2018 a été d’environ 500 000€.

Que s’est-il donc passé ?

L’entreprise décide de faire de la prospection commerciale par téléphone et fait appel à des centres d’appel basés en Afrique du Nord. Ces derniers, considérés comme des sous-traitants, contactent en masse les prospects sans tenir compte de leur opposition au démarchage téléphonique. Résultat des courses, un des prospects finit par déposer une plainte.

La CNIL a relevé plusieurs violations lors de son contrôle effectué sur place :

  • démarchages répétés malgré l’opposition des personnes appelées ;
  • enregistrement de conversations téléphoniques à l’insu des personnes appelées et sans information préalable ;
  • commentaires excessifs concernant les clients de l’entreprise inscrits dans des champs libres.

Quelles leçons peut-on en tirer ?

Respectez le droit d’opposition : une personne qui refuse le démarchage commerciale doit être définitivement rayée de votre liste de prospects afin de minimiser les risques de contentieux. Pensez en revanche à créer une liste d’opposition en interne.

Ne collectez que le strict nécessaire : la collecte de données excessives peut vous coûter cher. L’existence des champs libres, notamment dans les logiciels CRM, permet souvent une saisie incontrôlée de données qui ne sont pas absolument pas nécessaires au regard des finalités de traitement poursuivies.

Méfiez-vous des transferts de données personnelles en dehors de l’UE : le cadre juridique du transfert diffère selon le pays de destination tandis que la conformité au RGPD peut comporter des coûts cachés. Il paraît dès lors indispensable d’anticiper les coûts réels de la mise en conformité. Le rapatriement pur et simple de l’ensemble des activités au sein de l’UE est de loin la meilleure solution.