Catégorie dans CNIL

La CNIL précise ses recommandations liées aux cookies et autres traceurs en ligne.

Par dans CNIL Étiquette ,
  • Concernant le consentement des utilisateurs :
    • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
    • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • Concernant l’information des personnes : 
    • elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
    • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ». Et ce refus doit également être conservé de manière à ne pas solliciter le visiteur à chaque fois.

https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation

Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

Par dans CNIL Étiquette , ,

Dans le contexte de crise sanitaire liée au coronavirus, particulièrement dans la perspective d’une phase de « déconfinement », particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNIL rappelle certains principes.

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les

L’avis de la CNIL sur STOPCOVID

Par dans CNIL

Voici un résumé des 11 pages de l’avis de la CNIL sur le projet d’application STOPCOVID du gouvernement français : il est globalement positif sous certaines conditions.

« Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »

Il ne s’agit pas de tracer les individus de façon continue. Néanmoins, il s’agit d’établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l’application.

La protection de la vie privée est garantie par la Constitution et d’autres sources de droit ; le fait de collecter les listes de personnes que les individus ont fréquentées y porte une atteinte forte, qui ne peut, le cas échéant, être justifiée que la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé, qui découle du onzième alinéa du préambule de la Constitution de 1946 (…)

(…) En premier lieu, il faut souligner qu’afin de pouvoir informer un utilisateur d’une exposition possible au virus, le serveur central doit vérifier s’il existe une concordance entre les pseudonymes attribués, lors de son installation, à l’application de cet utilisateur et ceux ayant été transmis au serveur central par l’application d’une autre personne reconnue comme positive. Il en résulte que demeure un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée. Du fait de ce lien, la Commission estime que le dispositif traitera des données à caractère personnel au sens du RGPD.

En deuxième lieu, le serveur central disposerait de l’information selon laquelle un utilisateur aura ou non reçu une notification lui indiquant qu’il a été exposé au virus. La Commission relève que toute l’architecture du dispositif envisagée tend à ne faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier. Elle souligne que ce procédé minimise le risque de réidentification de la personne infectée à l’origine d’une alerte, dans le plein respect des principes de protection des données personnelles. (…)

Néanmoins, la Commission rappelle que la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en oeuvre du dispositif. Elle impose cependant de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives, garanties au titre desquelles l’atténuation des possibilités de ré-identification constitue une mesure essentielle.

Un dispositif fondé sur le volontariat

Une finalité limitée à l’alerte de personnes exposées au risque de contamination

(…) L’objectif de « suivi de contacts » poursuivi par le dispositif consiste à pouvoir informer un utilisateur de l’application que son téléphone (ou autre équipement mobile) s’est trouvé à proximité, au cours des jours précédents, de celui d’une personne ayant ultérieurement été diagnostiquée positive au COVID-19, de sorte qu’il existe un risque qu’il ait été contaminé à son tour.

A cet égard, il convient de souligner que le volontariat ne doit pas uniquement se traduire par le choix, pour l’utilisateur, de télécharger puis de mettre en oeuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au COVID-19 dans l’application) ou la faculté de la désinstaller. Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.(….)

En l’espèce, le gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.

A titre liminaire, la Commission rappelle qu’un usage volontaire de l’application est compatible en droit avec l’une ou l’autre de ces « bases légales ».

En conséquence, elle estime que la mission d’intérêt public, au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés », constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid. (…)

L’admissibilité de l’atteinte à la vie privée par un dispositif de suivi de contacts

(…) D’une part, le respect du principe de proportionnalité se traduira notamment par une collecte et une conservation des données limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte portée à la vie privée des personnes. Cette garantie fondamentale implique en l’espèce que la collecte et le traitement de données opérés par l’application revêtent un caractère temporaire, d’une durée limitée à celle de l’utilité du dispositif au regard des finalités précédemment décrites. Elle implique également que toutes les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée. Dans l’hypothèse où une exploitation statistique ou à des fins de recherche scientifique se révélerait néanmoins nécessaire, celle-ci devra être réalisée en priorité sur des données anonymisées ou, à défaut, dans le strict respect des règles fixées par le RGPD et la loi « Informatique et Libertés ».

En premier lieu, son efficacité dépend de certaines conditions techniques, notamment la possibilité pour une proportion suffisante de la population d’accéder à l’application et de l’utiliser dans de bonnes conditions. Cela signifie notamment qu’il serait souhaitable que cette application soit disponible sur suffisamment de magasins d’applications mobiles (« appstores », « playstore », etc.) et compatible avec la majorité des téléphones et autres équipements mobiles actuellement en circulation, tant d’un point de vue matériel que logiciel.(…)

(…) En quatrième lieu, un dispositif numérique de suivi individualisé des personnes ne peut être mis en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale. (…)

(…) Enfin, elle recommande que l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée. Cela permettra aux pouvoirs publics de décider de manière éclairée son maintien ou non au regard, notamment, des principes de proportionnalité et de nécessité. La Commission recommande que ces analyses lui soient, le cas échéant, communiquées, afin de lui permettre d’exercer sa mission de contrôle de la conformité de la mise en oeuvre du dispositif projeté. (…)

(….) Sur la nécessité de réaliser une analyse d’impact sur la protection des données

La Commission attire l’attention du gouvernement sur le fait que, comme tout traitement susceptible de présenter des risques élevés (données de santé, usage à grande échelle, suivi systématique, utilisation d’une nouvelle solution technologique), une analyse d’impact sur la protection des données (AIPD) devra être réalisée avant toute mise en œuvre d’un tel dispositif. La publication de l’AIPD est recommandée à des fins de transparence et au regard du contexte actuel. (…)

(…) Sur la sécurité :

 En premier lieu, la Commission relève que le dispositif envisagé comprend un serveur chargé de la centralisation des identifiants des personnes exposées. Afin d’apporter les garanties les plus élevées possibles contre tout détournement de finalité lié à ce choix, elle estime nécessaire que des mesures de sécurité organisationnelles et techniques de très haut niveau soient mises en place, en accord avec un modèle de sécurité adapté prenant en compte tout acte malveillant

En deuxième lieu, la Commission estime nécessaire que des mesures soient mises en oeuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs.

En troisième lieu, la Commission rappelle que seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en oeuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé. (…)

(…) Par ailleurs, la Commission accueille favorablement le fait que des éléments de documentation technique ont déjà été rendus publics. Elle souligne à cet égard l’importance d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage. Il s’agit tant de permettre à la communauté scientifique de contribuer à l’amélioration constante du dispositif et à la correction des éventuelles vulnérabilités que de garantir une parfaite transparence vis-à-vis de l’ensemble des citoyens. Elle recommande par ailleurs, afin de maximiser la qualité de la solution, que les commentaires et débats de la communauté scientifique soient pris en compte.

Sur le respect des droits des personnes sur leurs données à caractère personnel

La maitrise de leurs données par les personnes concernées est une garantie essentielle pour garantir la confiance du public dans les mesures prises aux fins de gestion de la crise du COVID-19. Une information appropriée devra donc être fournie aux utilisateurs, dans le respect des articles 12 à 14 du RGPD. Dans la mesure où une partie importante de la population est susceptible d’être concernée par le dispositif, la Commission insiste notamment sur la nécessité de délivrer une information compréhensible par le plus grand nombre, dans des termes clairs et simples.

La Commission rappelle que des situations telles que l’épidémie actuelle de COVID- 19 ne suspendent ni ne restreignent, par principe, la possibilité pour les personnes concernées d’exercer leurs droits sur leurs données à caractère personnel conformément aux dispositions des articles 12 à 22 du RGPD. »

La CNIL publie son registre des traitements

Par dans CNIL

On ne pouvait faire plus transparent : en publiant son registre des traitements la CNIL montre l’exemple, même si aucun texte n’exige l’obligation de rendre public cette documentation.

Si vous voulez vous inspirer de ce document vous le trouverez sur le site web de la CNIL : https://www.cnil.fr/fr/la-cnil-publie-son-registre-rgpd

Prêt pour le Brexit ?

Par dans BREXIT, CNIL

Vous sous-traitez une partie de vos services informatiques ou simplement utilisez un service Cloud hébergé en Grande Bretagne ? Sachez que les termes du Brexit sont en cours de négociation mais que rien ne change jusqu’au 31 Décembre 2020. Pour ce qui est de la conformité au Règlement Général sur la Protection des Données, soit l’Union Européenne décidera d’une équivalence avec la Grande Bretagne, soit il faudra en passer par un encadrement de type clauses contractuelles spécifiques ou des mécanismes de certifications voire, au sein d’un groupe multinationale, des « Binding Corporate Rules ». Préparez-vous, just in case….

Publication de l’ordonnance de réécriture de la loi Informatique et Libertés

Par dans CNIL

L’ordonnance n° 2018-1125 du 12 décembre 2018, publiée le 13 décembre 2018, achève, au niveau législatif, la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale. Cette ordonnance améliore la lisibilité du cadre juridique en matière de protection des données. La CNIL a rendu le 15 novembre 2018 un avis sur ce texte.  

Dans son avis, la CNIL a insisté cependant sur la nécessité de clarifier au maximum les obligations imposées aux organismes traitant des données à caractère personnel, et notamment à des petites et moyennes entreprises ou à des organismes publics de taille modeste. Elle a également émis des observations plus techniques, afin de clarifier ou préciser les conditions de l’action collective ou les modalités d’utilisation des données personnelles à des fins de recherche en santé. Plusieurs de ces observations ont été prises en compte par le Gouvernement dans l’ordonnance promulguée.

Cette ordonnance entrera en vigueur au plus tard en juin 2019, en même temps que le nouveau décret d’application de la loi Informatique et Libertés. Dans l’attente, les dispositions actuelles de la loi Informatique et Libertés, dans sa version modifiée par la loi du 20 juin 2018, restent seules applicables.

Enfin, la CNIL rappelle que l’entrée en application du cadre juridique européen impose une réflexion de fond sur certaines législations sectorielles touchant à la protection des données personnelles, par exemple en matière de vidéoprotection. 

Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse est requise par la CNIL

Par dans CNIL

Le RGPD prévoit que les autorités de protection des données doivent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données est requise. La CNIL a adopté sa liste définitive le 11 octobre dernier, après avoir soumis un projet au Comité européen de la protection des données. Elle publie également ses lignes directrices relatives aux AIPD.

https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements