Publié le

La CNIL annonce ses thématiques de contrôle prioritaires pour 2023

La CNIL rappelle qu’elle effectue ses contrôles selon trois axes :

  • Les plaintes reçues ;
  • Les sujets d’actualité ;
  • Selon ses thématiques de contrôle prioritaires annuelles.

La première thématique de contrôle prioritaire annoncée pour 2023 est le contrôle de la conformité de l’utilisation de caméras augmentées par les acteurs publics. En effet, celles-ci sont déployées parfois sans vérifier leur conformité préalable au RGPD (Règlement UE 2016/679). Or, si certains usages sont admissibles, d’autres ne sont pas autorisés. La CNIL a fréquemment été saisie de ce sujet par différents acteurs en 2022, notamment. Ainsi, la CNIL rappelle dans sa position publiée en juillet 2022, que les usages en lien avec la prévention des infractions, notamment afin d’identifier des comportements suspects, ne sont pas licites par défaut, et doivent être autorisés par une loi en fixant les usages précis et les garanties. Elle rappelle la nécessaire légitimité des usages envisagés, le risque de disproportionnalité étant important, et les droits des personnes souvent négligés. Cette position de la CNIL était par ailleurs intervenue dans un contexte où les preuves de l’utilité et de l’efficacité de certains dispositifs déployés n’étaient pas rapportées. Ainsi, en 2019, la CNIL s’était déjà montrée circonspecte sur le déploiement de caméras augmentées par la ville de Nice, dont l’efficacité n’était pas démontrée.

Probablement en raison du contexte économique, le second axe de contrôle est celui de l’utilisation du fichier des incidents de remboursement de crédit aux particuliers par les banques. Seront ainsi particulièrement contrôlés les conditions dans lesquelles les banques accèdent au fichier des incidents de crédit au particuliers (FICP), elles extraient des informations, et les tiennent à jour après régularisation des incidents.

Le troisième axe de contrôle est celui de l’accès au dossier patient informatisé (DPI) au sein des établissements de santé, contenant des données sensibles. Cet axe de contrôle a notamment été déterminé suite à des plaintes émises par des patients d’établissements de santé dénonçant des accès non autorisés aux données de leur DPI.

Le quatrième axe est celui du traçage des utilisateurs par les applications mobiles. En effet, de nombreuses applications mobiles collectent des données personnelles sans le consentement des utilisateurs alors que celui ci est requis.

Enfin, la CNIL informe d’une vague de contrôle sur la désignation et les conditions d’exercice des délégués à la protection des données (DPD/DPO), impulsée au niveau européen. En effet, la désignation d’un DPO est essentielle dans la conformité au RGPD. Pour répondre aux exigences règlementaires, ces derniers doivent avoir les compétences, les moyens et l’indépendance nécessaires au plein exercice de leur fonction. Le CEPD a ainsi annoncé une vague de contrôle du respect de ces conditions en 2023 dans l’ensemble des pays de l’Union Européenne.

Publié le

Quelles ambitions pour la CNIL en 2023 ?

Force est de constater, plus de quatre années après l’entrée en vigueur du RGPD, que la conformité des entreprises françaises à ce règlement n’est pas encore acquise. Plus particulièrement la conformité des TPE et PME reste à largement à améliorer, faute souvent de volonté et de moyens suffisants octroyés pour cette démarche. Les efforts minimum n’ont parfois pas été fournis, et même au sein des plus grandes entreprises, un manque de culture de protection des données personnelles est parfois à déplorer.

Sous cet angle, la démarche pédagogique de la CNIL est à elle seule insuffisante. Cependant, il ne faut pas nier l’un des effets majeurs de l’entrée en vigueur du RGPD et des immenses efforts de pédagogie déployés par la CNIL (diffusion de nombreux supports d’information sectoriels, de cours en ligne ou « MOOC« , etc.), à savoir la diffusion, au sein du grand public, d’une certaine culture de la protection des données personnelles. Ce sujet souvent oublié avant 2018 a bien été approprié par l’opinion publique, à défaut de l’être systématiquement par les chefs d’entreprise.

Le bilan de l’activité de la CNIL pour 2022 n’a pas encore été publié, mais à cette occasion seront présentées ses thématiques prioritaires de contrôle (pour rappel en 2022 : prospection commerciale, cloud et surveillance du télétravail) et cela donnera une idée de ses ambitions pour cette nouvelle année.

Il sera également intéressant à lire à plusieurs égards : outre l’augmentation des effectifs de la CNIL, qui laisse augurer des contrôles élargis, les cibles des contrôles seront également intéressantes à analyser. L’année 2021 avait notamment marqué des contrôles renforcés des éditeurs d’applications en lien avec la gestion de la pandémie et/ou les données de santé. L’année 2022 a ouvert la voie à de nouveaux risques dans les traitements de données personnelles, avec notamment une augmentation significative des cyberattaques.

A noter, ces axes prioritaires annuels s’inscrivent plus largement dans un programme pluriannuel 2022/2024 dont les objectifs sont :

  • améliorer de façon effective la maîtrise et le respect des droits des personnes concernées par les traitements ;
  • Convaincre les organisations de l’atout que constitue le respect du RGPD, vecteur de confiance ;
  • Prioriser les actions CNIL sur les sujets à fort enjeu pour la vie privée, dont notamment l’usage des caméras augmentées et leurs usages, les transferts de données dans le cloud et la souveraineté numérique (dans la suite de l’arrêt dit « Schrems II »), et enfin, renforcer la conformité des applications mobiles, dont les traitements manquent souvent de transparence.

Les chantiers sont donc nombreux et il sera intéressant de voir quelles sont les priorités de la CNIL en 2023, en cohérence avec le plan pluriannuel annoncé.

Publié le

Plateformes numériques de mise en relation : un risque de requalification en contrat de travail pour les travailleurs indépendants

Nombreuses sont les plateformes numériques qui proposent des services de mise en relation avec des travailleurs indépendants, particulièrement dans des domaines d’expertises dédiés (développeurs, graphistes, etc.).

L’éditeur de la plateforme, au début de son projet, ignore parfois un des risques qui pèsent sur sa société : le risque de requalification des contrats de prestations conclus par l’intermédiaire de sa plateforme avec les clients finaux en contrat de travail à durée indéterminée (CDI) liant sa société aux travailleurs indépendants référencés sur sa plateforme.

Cette requalification est cependant soumise au traditionnel « faisceau d’indices » analysé par les juridictions sociales en cas de litige, nés suite à une demande de requalification souvent portée par les travailleurs indépendants eux-mêmes.

Il est ainsi recommandé d’être conseillé par un avocat expert en droit du travail en amont du développement, notamment pour paramétrer la plateforme de manière à limiter ce risque de requalification.

Vous l’aurez compris, une fois de plus, consulter votre avocat au démarrage de votre projet vous permettra, dès la conception de votre plateforme, d’anticiper ce risque. Cela vous évitera de revenir sur des développements informatiques au coût non négligeable pour une entreprise dans sa phase de lancement.

Si vous souhaitez prendre connaissance des dernières jurisprudences sur ce sujet et des risques associés, lisez l’article rédigé par les avocats et juriste experts en droit du travail et droit du numérique du Cabinet Manenti & Co : lire l’article.

Publié le

La CNIL publie ses thématiques prioritaires de contrôle pour 2021 : cybersécurité, données de santé, et cookies

En transparence, la CNIL informe chaque année le grand public de ses thématiques prioritaires de contrôle.

Cette année, en lien avec l’actualité, la CNIL ciblera principalement les problématiques de la cybersécurité des sites web, de la sécurité des données des santé et du respect des règles applicables aux cookies et autres traceurs.

Les défauts de sécurité des sites web font partie des manquements les plus souvent constatés par la CNIL. Le Cabinet ne peut que confirmer, à son échelle, ce constat : certains clients sont touchés par de graves défauts de sécurité, suite à un problème de mise à jour par exemple.

La sécurité des données de santé est naturellement une question essentielle, et au delà de la particulière sensibilité de ces données, de nombreuses actualités sont venues démontrer les difficultés de certains organismes ou établissements français à assurer leur sécurité de manière satisfaisante.

Également dans le collimateur de la CNIL, la conformité des sites Internet aux recommandations et lignes directrices sur les cookies et autres traceurs. A compter d’avril 2021, la CNIL contrôlera notamment la conformité à ses dernières lignes directrices et recommandation du 1er octobre 2020.

A noter, la CNIL publiera prochainement, sur cette page, la liste des solutions pouvant être utilisées sans recueil du consentement, sous réserve d’en faire un usage conforme aux recommandations susmentionnées.

Cette aide pratique sera la bienvenue, car c’est souvent la complexité du paramétrage des solutions existantes, ou bien la difficulté à identifier des solutions efficaces et simples d’utilisation y compris pour les personnes n’ayant pas de compétences techniques particulières, qui est un obstacle à la conformité effective de nombreux sites Internet.

Publié le

Partenariat privilégié avec le Cabinet d’Avocats d’Affaires Manenti & Co

Le Cabinet a le plaisir d’annoncer un partenariat avec le Cabinet d’Avocats d’affaires Manenti & Co. Ce partenariat permet un travail en synergie dans tous les domaines du droit des affaires (Propriété intellectuelle, nouvelles technologies, données personnelles et RGPD, droit commercial, droit des sociétés, droit social, procédures collectives, etc.).

Afin de permettre à ce partenariat de prospérer le Cabinet a déménagé au 4 Cours Pierre Puget pour rejoindre l’équipe Manenti & Co. La continuité de l’activité de nos deux Cabinets est assurée pendant le confinement, nous sommes à vos côtés pour vous accompagner au mieux en cette période particulière.

Maître Crisan vous accompagne particulièrement en droit du numérique, des données personnelles et de la propriété intellectuelle, domaines qui connaissent une forte accélération en cette période très favorable à la numérisation des activités.

Publié le

Confinement bis : continuité de l’activité du Cabinet

Le Cabinet s’organise, comme lors du premier confinement pour la poursuite de l’activité. Les rendez-vous sont assurés de préférence en visio-conférence, mais parfois également en présentiel, lorsque nécessaire, dans le respect des geste barrières. Le premier confinement avait déjà contraint les entreprises et commerces à se réorganiser, le deuxième les incite à poursuivre dans cette voie. Les compétences du Cabinet en droit du numérique sont ainsi particulièrement sollicitées, et nous nous sommes organisés pour y répondre dans les meilleures conditions.

Ainsi, le Cabinet est disponible et vous apportera l’aide nécessaire pour la sécurisation de vos activités numériques ou votre transition numérique, et vous accompagnera grâce à son expertise en droit des données personnelles (RGPD), droit du commerce électronique, droit de la propriété intellectuelle et plus généralement du droit des affaires.

Publié le

Cookies : lignes directrices et recommandation pratique définitives de la CNIL

La CNIL publiait le 4 juillet 2019 de nouvelles lignes directrices rappelant le droit applicable en matière de ciblage publicitaire sur Internet. Toutefois, dans une décision du 19 juin 2020 le Conseil d’État, tout en validant l’essentiel des lignes directrices considérait que l’interdiction générale des « Cookies walls » déduite du RGPD ne pouvait être proclamée dans des lignes directrices, instrument de droit souple. En conséquence, pour le Conseil d’État « la CNIL a excédé ce qu’elle peut légalement faire » et « la délibération attaquée est, dans cette mesure, entachée d’illégalité » .

Pour autant, il ne faut pas en déduire la validité du procédé du « Cookie wall » pour obtenir le consentement des internautes avant la navigation sur un site : cette analyse serait contraire à la position de l’EDPB (ou CEPD, Comité européen de protection des données personnelles) et au RGPD, aux termes duquel le consentement doit être libre, le choix devant être réel. Or, ce choix n’existe pas si à défaut de consentement le site n’est plus accessible.

Quoiqu’il en soit, conformément à la décision du Conseil d’État, la CNIL a ajusté ses lignes directrices et sa recommandation pratique de mise en conformité en cas de recours aux Cookies et autres traceurs, publiées le 17 septembre 2020.

Publié le

Auteur ou non, l’éditeur personne physique d’un blog est responsable des contenus publiés

Dans une affaire jugée par le tribunal correctionnel de Paris le 19 décembre 2019, l’éditeur d’un blog personnel ne reconnaissait pas être l’auteur des propos diffamants tenus sur son site, espérant ainsi échapper à une condamnation.

Cependant, ce fait est indifférent à l’engagement de sa responsabilité pour les propos diffamant publiés sur son blog. En effet, la loi du 29 juillet 1982 sur la communication audiovisuelle (n°82-652) organise un système de responsabilité en cascade : « le directeur de la publication […] sera poursuivi comme auteur principal, lorsque le message incriminé a fait l’objet d’une fixation préalable à sa communication au public. »

Or, l’article 93.2 de cette même loi dispose : « Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication. […] Lorsque le service est fourni par une personne physique, le directeur de la publication est cette personne physique. »

Dès lors, le tribunal conclu « Il est par conséquent anodin, pour la caractérisation d’une éventuelle diffamation, d’établir si M. X est effectivement l’auteur des propos poursuivi, le mécanisme de responsabilité en cascade édicté à l’article 93-3 […] n’exigeant pas pareille démonstration. »

Les rédacteurs de blogs doivent donc rester particulièrement vigilant sur la nature des propos tenus sur leurs blogs. A défaut d’entrer dans les conditions prévues à l’article 93.5 de la loi du 29 juillet 1982, leur responsabilité est automatiquement engagée en cas de contenu illicite, sans qu’il soit nécessaire d’établir qu’ils sont l’auteur des propos litigieux.

Le Cabinet vous accompagne pour déterminer le champ de votre responsabilité si vous êtes propriétaire d’un site internet ou d’un blog, à titre personnel ou professionnel, mais également pour vous défendre si vous faite l’objet de poursuites judiciaires.