La CNIL publie ses thématiques prioritaires de contrôle pour 2021 : cybersécurité, données de santé, et cookies

En transparence, la CNIL informe chaque année le grand public de ses thématiques prioritaires de contrôle.

Cette année, en lien avec l’actualité, la CNIL ciblera principalement les problématiques de la cybersécurité des sites web, de la sécurité des données des santé et du respect des règles applicables aux cookies et autres traceurs.

Les défauts de sécurité des sites web font partie des manquements les plus souvent constatés par la CNIL. Le Cabinet ne peut que confirmer, à son échelle, ce constat : certains clients sont touchés par de graves défauts de sécurité, suite à un problème de mise à jour par exemple.

La sécurité des données de santé est naturellement une question essentielle, et au delà de la particulière sensibilité de ces données, de nombreuses actualités sont venues démontrer les difficultés de certains organismes ou établissements français à assurer leur sécurité de manière satisfaisante.

Également dans le collimateur de la CNIL, la conformité des sites Internet aux recommandations et lignes directrices sur les cookies et autres traceurs. A compter d’avril 2021, la CNIL contrôlera notamment la conformité à ses dernières lignes directrices et recommandation du 1er octobre 2020.

A noter, la CNIL publiera prochainement, sur cette page, la liste des solutions pouvant être utilisées sans recueil du consentement, sous réserve d’en faire un usage conforme aux recommandations susmentionnées.

Cette aide pratique sera la bienvenue, car c’est souvent la complexité du paramétrage des solutions existantes, ou bien la difficulté à identifier des solutions efficaces et simples d’utilisation y compris pour les personnes n’ayant pas de compétences techniques particulières, qui est un obstacle à la conformité effective de nombreux sites Internet.

Professionnels de santé, vous êtes aussi concernés par le RGPD !

La CNIL a récemment sanctionné, le 7 décembre 2020, deux médecins à hauteur, respectivement, de 3000 et 6000 euros chacun. S’agissant de données de santé, soit une catégorie de données personnelles particulièrement sensibles, des erreurs de paramétrage et de configuration ont conduit à une violation des données, par ailleurs non notifiées à la CNIL en violation de l’article 33 du RGPD.

La publication de ces deux décisions de sanction est destinée à rappeler à l’ordre les professionnels de santé, souvent trop peu au fait de la règlementation en matière de données personnelles, malgré la particulière sensibilité des données qu’ils traitent.

Pour rappel, la CNIL et l’ordre des médecins ont publié un guide pratique à l’attention des médecins, naturellement utile à tout professionnel de santé.

Le Cabinet est en mesure de vous proposer un accompagnement sur mesure pour accélérer et déployer vos outils juridiques de conformité RGPD.

Confinement bis : continuité de l’activité du Cabinet

Le Cabinet s’organise, comme lors du premier confinement pour la poursuite de l’activité. Les rendez-vous sont assurés de préférence en visio-conférence, mais parfois également en présentiel, lorsque nécessaire, dans le respect des geste barrières. Le premier confinement avait déjà contraint les entreprises et commerces à se réorganiser, le deuxième les incite à poursuivre dans cette voie. Les compétences du Cabinet en droit du numérique sont ainsi particulièrement sollicitées, et nous nous sommes organisés pour y répondre dans les meilleures conditions.

Ainsi, le Cabinet est disponible et vous apportera l’aide nécessaire pour la sécurisation de vos activités numériques ou votre transition numérique, et vous accompagnera grâce à son expertise en droit des données personnelles (RGPD), droit du commerce électronique, droit de la propriété intellectuelle et plus généralement du droit des affaires.

Cookies : lignes directrices et recommandation pratique définitives de la CNIL

La CNIL publiait le 4 juillet 2019 de nouvelles lignes directrices rappelant le droit applicable en matière de ciblage publicitaire sur Internet. Toutefois, dans une décision du 19 juin 2020 le Conseil d’État, tout en validant l’essentiel des lignes directrices considérait que l’interdiction générale des « Cookies walls » déduite du RGPD ne pouvait être proclamée dans des lignes directrices, instrument de droit souple. En conséquence, pour le Conseil d’État « la CNIL a excédé ce qu’elle peut légalement faire » et « la délibération attaquée est, dans cette mesure, entachée d’illégalité » .

Pour autant, il ne faut pas en déduire la validité du procédé du « Cookie wall » pour obtenir le consentement des internautes avant la navigation sur un site : cette analyse serait contraire à la position de l’EDPB (ou CEPD, Comité européen de protection des données personnelles) et au RGPD, aux termes duquel le consentement doit être libre, le choix devant être réel. Or, ce choix n’existe pas si à défaut de consentement le site n’est plus accessible.

Quoiqu’il en soit, conformément à la décision du Conseil d’État, la CNIL a ajusté ses lignes directrices et sa recommandation pratique de mise en conformité en cas de recours aux Cookies et autres traceurs, publiées le 17 septembre 2020.

Crise sanitaire et Cookies : où est passé la CNIL?

Nous annoncions il y a déjà quelques mois la publication de la version définitive de la recommandation pratique sur la mise en œuvre des règles relatives aux cookies, rédigée par la CNIL et soumise à consultation publique.

La crise sanitaire est toutefois venue perturber le calendrier initial : la CNIL concentre désormais ses moyens sur la gestion des dossiers en lien avec celle-ci, et la version définitive de la recommandation se fait attendre. Toutefois, en cette période suspendue, les règles issues du RGPD, applicable depuis le 25 mai 2018 et publié deux ans auparavant, demeurent en vigueur.

Dès lors, il est conseillé d’anticiper les nouvelles préconisations, vraisemblablement peu différentes du projet de recommandation, pour entamer les développements nécessaires sur ses sites internets et prendre contact dès à présent avec son avocat pour la mise à jour des politiques des cookies.

E-commerce : n’oubliez pas la conformité numérique!

En cette période particulière et au vu du contexte sanitaire, il est utile de penser à la conversion d’une partie de son activité à la vente en ligne.

A cet égard, le e-commerce comporte son propre corpus de règles, qui le distingue notamment de la vente en magasin. Bien sûr, ce n’est pas pour la beauté de vos CGV que vos clients souscriront à vos produits et services en ligne. Toutefois, il ne faut pas négliger leur importance.

Outre l’aspect répressif de certaines sanctions qui peuvent trouver à s’appliquer en cas de défaillance dans la rédaction de vos documents légaux en ligne, c’est la confiance de vos clients et prospects qui est en jeu. Des documents légaux clairs et de qualité vont rassurer les internautes sur votre capacité à honorer votre contrat. C’est d’ailleurs les premiers éléments qu’ils vont vérifier afin de s’assurer du sérieux d’un site.

Il faut également assurer une construction du parcours client conforme aux règles en vigueur, sous peine de devoir réaliser de nouveaux développements et donc d’ajouter au coût de votre site. A cet égard, il est recommandé de se rapprocher d’un Cabinet d’avocat avant sa mise en ligne, afin de pouvoir bénéficier de conseils dès sa conception. De plus, le copier-coller de CGU/CGV tierces peut non seulement avoir pour conséquence un contenu inadapté, mais vous fait également courir le risque de poursuites judiciaires, pour contrefaçon et/ou parasitisme.

Le Cabinet maintient son activité en télétravail et propose des forfaits pour mettre en conformité l’ensemble de vos documents légaux en ligne, afin d’assurer votre conformité numérique tout en maitrisant votre budget.

Invalidation d’un dispositif de reconnaissance faciale dans des lycées par le juge administratif

Dans un jugement du 27 février 2020, le tribunal administratif de Marseille a annulé pour excès de pouvoir la délibération n°18-893 du conseil régional de Provence-Alpes-Côte d’Azur.

En effet, cette délibération a approuvé la mise en place d’un dispositif de contrôle d’accès dans deux Lycées de la région PACA par comparaison faciale et suivi de trajectoire.

Le tribunal estime notamment que la délibération de la région PACA est entachée d’incompétence, en ce qu’elle excède le champ des missions qui lui sont attribuées par les textes. En effet, en vertu du code de l’éducation, la mission d’assurer la sécurité des personnes dans les lycées relève du chef d’établissement et non de la région.

De plus, le traitement de données biométriques est par principe interdit (article 9§1 du RGPD). S’il existe des exceptions, le respect des conditions de ces dernières doit être soigneusement justifié et documenté. Il s’agit notamment du consentement des personnes, pour une finalité spécifique, ou encore de la justification d’un intérêt public important, au sens du droit national ou européen, dès lors que le traitement est nécessaire et proportionné à l’objectif poursuivi (Article 9§2 du RGPD).

Le tribunal a jugé que la région, en recueillant le consentement par la seule signature d’un formulaire, alors que le public visé se trouvait dans une relation d’autorité à l’égard des responsables d’établissement, n’a pas prévu des garanties suffisantes pour assurer la validité du consentement donné. C’est notamment l’absence de caractère « libre » du consentement que reproche le juge administratif.

En ce qui concerne le motif d’intérêt public, celui-ci est insuffisamment justifié, tout comme la nécessité et la proportionnalité du traitement. En conséquence, le tribunal en conclut que la délibération est entachée d’illégalité au regard de l’article 9 du règlement général sur la protection des données. Elle est annulée en ce qu’elle a lancé l’expérimentation dans deux lycées de la région PACA (à Nice et Marseille).

Il est ainsi fondamental de documenter et de justifier, par la rédaction d’une étude d’impact, la mise en place des expérimentations ou dispositifs intrusifs au plan des données personnelles, tels les dispositifs biométriques, que l’on soit une entreprise ou une collectivité territoriale. Il est également impératif de mettre en place les garanties juridiques nécessaires afin d’assurer la licéité des traitements sensibles. Au delà des éventuelles sanctions financières, la conformité au RGPD est un enjeu en terme de réputation et de confiance pour les clients ou usagers.

Le Cabinet vous assiste dans l’élaboration et l’analyse de vos études d’impact, et vous conseille pour assurer la licéité de vos traitements.

Cookies : la CNIL durcit le ton et annonce une plus grande sévérité dans les sanctions

Dans un article du Figaro du 3 février 2020, Madame Marie-Laure Denis, Présidente de la CNIL, annonce des « sanctions nettement plus significatives » . Elle considère désormais qu’il est temps de faire appliquer le RGPD en matière de cookies.

Consciente des enjeux pratiques, la CNIL laissera une période d’adaptation de six mois aux acteurs une fois sa recommandation définitive adoptée en avril ou mars prochain. En effet, bien que le RGPD soit entré en vigueur depuis le 25 mai 2018, la CNIL a jugé nécessaire de faire bénéficier les acteurs de l’Internet d’un temps de grâce, au vu de « l’ampleur de cette régulation qui concerne la quasi totalité des sites web« . Attention cependant, elle précise dans un entretien publié dans le journal Le Monde le 14 février que « La période d’adaptation ne porte que sur un sujet très précis : les nouvelles modalités du recueil du consentement aux traceurs. Toutes les autres dispositions relatives aux cookies restent applicables et sont déjà contrôlées par la CNIL » .

Reste à savoir dans quelle mesure son projet de recommandation sera amendé pour tenir compte des remarques des professionnels du secteur de la publicité en ligne, peu favorables au projet publié.

Cependant, le RGPD étant un texte européen d’application directe en droit national, la CNIL ne pourra que rester fidèle, dans l’ensemble, à son projet de recommandation, tout particulièrement en ce qui concerne l’exigence du caractère non équivoque du consentement de l’internaute au dépôt des traceurs.

Conférence de clôture du cycle Données personnelles à l’EFB

La conférence de clôture du premier cycle de formation sur les données personnelles organisé par l’EFB, en partenariat avec le Cercle Montesquieu, a eu lieu le 30 janvier 2020, en présence notamment du directeur de l’Ecole, Monsieur Pierre Berlioz, et de Madame Sophie Nerbonne, de la CNIL.

A cette occasion, les certificats de présence aux sept modules de formation ont été remis aux participants impliqués dans l’ensemble du cycle, qui avait été clôturé par un test de connaissances en ligne fin 2019.

Madame Sophie Nerbonne a rappelé la posture de la CNIL, à la fois régulateur et titulaire d’un pouvoir de sanction, tout en insistant sur son rôle d’accompagnement des professionnels dans leur mise en conformité et notamment des PME. Elle a ensuite répondu aux questions de l’auditoire, et a notamment été interrogée par Monsieur Berlioz sur les limites du rôle pédagogique de la CNIL, dès lors qu’elle est à la fois rédactrice de normes et pouvoir de sanction.

En conclusion, le directeur de l’EFB a émis le souhait que le prochain cycle de formation dans cette matière fasse salle comble.

Vers l’adoption d’une recommandation définitive sur les modalités de recueil du consentement au dépôt des cookies

La CNIL avait annoncé la publication d’une recommandation sur les modalités du recueil du consentement pour l’utilisation de cookies et autres traceurs au plus tard pour le début de l’année 2020. Ce projet de recommandation a été publié le 14 janvier et est soumis à consultation publique jusqu’au 25 février.

Cette recommandation a pour objet de préciser les modalités pratiques du recueil du consentement afin de guider les professionnels dans leur mise en conformité.

En effet, force est de constater, dans ce domaine, que la pratique reste dans l’ensemble très éloignée des règles du RGPD . En effet, de nombreux cookies non indispensables à la navigation sont présents sur les sites internet, sans pour autant que le recueil du consentement préalable soit effectué. On pourrait imaginer qu’il s’agit, en France, d’une conséquence de la publication récente des nouvelles lignes directrices de la CNIL en la matière, et notamment de l’application de la période transitoire laissée aux acteurs numériques pour se mettre en conformité.

Cette position de la CNIL sur l’application de ses dernières lignes directrices a été critiquées par les « deux camps » opposés en matière de protection des données : les associations de protection des citoyens comme les professionnels du secteur de la publicité en ligne, les premiers trouvant l’octroi d’une période transitoire aux acteurs trop clémente car non conforme au RGPD d’application directe, et les seconds, trop stricte, l’exigence de recueil du consentement préalable risquant de bloquer la collecte des données via les traceurs en ligne. Le Conseil d’État avait finalement décidé, en référé et au fond, que la période transitoire accordée par la CNIL ne portait pas « une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles ».

On constate toutefois que de nombreux sites ne sont pas non plus conformes à la délibération antérieure, puisque très fréquemment, des cookies sont déposés sur les terminaux des utilisateurs avant même que ceux-ci aient consenti à leur dépôt ou bien aient poursuivi leur navigation par un « scroll significatif’.

Or, la difficulté en la matière est bien d’allier les aspects juridiques avec les aspects techniques, de trouver des outils conformes, mais également de répondre à des exigences parfois perçues comme contradictoires : délivrer une information complète aux personnes concernées et être synthétique et lisible dans la rédaction des politiques d’information sur les données personnelles. La CNIL elle-même avait choisi, provisoirement, de retirer tous les cookies de son site internet suite à la publication de ses dernières lignes directrices, le temps d’opérer, vraisemblablement, des mises à jour techniques.

La publication définitive de la recommandation sera donc particulièrement bienvenue, en complétant la cadre règlementaire par des précisions opérationnelles.

A noter, ce cadre pourra à nouveau être amené à évoluer une fois la directive e-privacy adoptée. Il faut espérer, pour les responsables de traitement, que ces éventuelles évolutions se feront dans la continuité, afin de leur éviter une mise à jour juridique ou technique d’ampleur.

Le Cabinet suit de très près les évolutions règlementaires et les préconisations opérationnelles de la CNIL afin de vous accompagner aux mieux dans la mise en conformité de vos sites internet et plus largement de vos traitements de données personnelles.