L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Association francophone des autorités de protection des données personnelles  (AFAPDP) est une association créée en 2007 à l’initiative d’une trentaine de représentants d’autorités de contrôle et représentants d’états francophones.

Cette association a pour objectif de promouvoir le droit à la protection des données personnelles, dans les États non encore dotés d’une législation (la majorité des États dans le monde) et d’encourager, au niveau international, l’établissement d’un instrument juridique international contraignant.

Elle contribue à développer et valoriser l’expertise francophone en matière de protection des données personnelles.

C’est un outil mis à la disposition des salariés leur permettant de signaler des problèmes pouvant sérieusement affecter l’activité d’une entreprise ou engager gravement sa responsabilité. Il peut s’agir par exemple d’un numéro de téléphone « ligne éthique » ou d’une adresse électronique particulière. Les alertes recueillies sont ensuite vérifiées, dans un cadre confidentiel, et permettent à l’employeur de décider, en connaissance de cause, des mesures correctives à prendre. Compte tenu de la multiplicité des voies d’alertes déjà disponibles dans les entreprises (voie hiérarchique, commissaires aux comptes, fonctions de l’audit ou de la conformité interne, représentants du personnel, inspection du travail, etc.) le dispositif d’alerte professionnelle est facultatif. Un salarié ne peut pas être sanctionné s’il ne souhaite pas l’utiliser.

Elle vise à évaluer tous les processus et toutes les bases de données d’un département donné (finalités, durée de conservation des données, droits des personnes…) et à analyser les risques sur la sécurité des données (accès aux données, fraudes…) et leurs impacts potentiels sur la vie privée, afin de déterminer les mesures techniques et d’organisation pour protéger les données.

Opération transformant de manière irréversible des données personnelles, dans l’optique de ne plus permettre l’identification de la personne. Il n’est plus possible post-opération, de rattacher les données anonymisées à la personne d’origine, c’est-à-dire de les réidentifiées après traitement. Il s’agit donc d’un Procédé irréversible, avec impossibilité de désanonymiser les données.

L’anonymisation permet de sortir des obligations de conformité des données personnelles au RGPD (consid 26), et de conserver lesdites données anonymisées, sans limite de temps (sauf si une copie non anonymisée est conservée).

Il est souvent impossible pour les entreprises d’anonymiser complètement les données pour le bon fonctionnement des traitements mis en œuvre. Il est alors incontournable d’exploiter la pseudonymisation des données.

Ensemble des modalités de conservation et gestion d’archives électroniques contenant des données à caractère personnel destinées à garantir leur valeur, notamment juridique, pendant toute la durée nécessaire (versement, stockage, migration, accessibilité, élimination, politique d’archivage, protection de la confidentialité, etc.).

1. L’explosion de l’assurance cyber est inéluctable

L’explosion des incidents de sécurité informatique et des dommages générés par ces incidents est un fait. Chaque entreprise grande ou petite, chaque acteur public est concerné(e) et ce, quel que soit son secteur d’activité.

Face à l’explosion des cyberattaques, le législateur entend opposer un corpus juridique faisant de la sécurité informatique un enjeu central. C’est ainsi que l’obligation de sécurité des données et de vigilance qui s’impose à tous trouve son origine dans une grande diversité de textes légaux et réglementaires :

• Le Règlement Général Européen sur la Protection des données (RGPD) entré en vigueur le 25 mai 2018 ainsi que la loi n°78-17 dite informatique et libertés du 6 janvier 1978 modifiée imposent en effet une obligation générale de sécurité des données à caractère personnel aux responsables de traitements et à leurs sous-traitants. Les sanctions en cas de violation de cette obligation se multiplient, tout comme les notifications à la CNIL.

• Citons également la loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre. Un plan spécifique doit être formalisé afin d’identifier les risques et de prévenir les atteintes graves « envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement ». Or, l’analyse des risques induite par ce plan devra nécessairement intégrer le risque cyber et l’analyse des conséquences possibles de cyber attaques.

• la loi de programmation militaire pour 2014-2019 ainsi que la directive « Sécurité des Réseaux d’Information » (« Network and Information Security ») transposée le 26 février 2018 visant les Opérateurs de Services Essentiels (OSE) et des Fournisseurs de Service Numérique (FSN) avec des obligations de sécurité spécifiques pour les Opérateurs d’Importance Vitale (OIV), les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (FSN).

Répondant à ce contexte légal, la cyberassurance ne peut que se développer de manière exponentielle. Elle devrait ainsi représenter 8 à 9 milliards de dollars de primes brut au niveau mondial à horizon 2020.

Pour autant, le litige visé plus haut laisse à penser que l’évaluation des risques par l’assureur n’est pas une mince affaire.

2. Un cyber-risque qui est multiple

Subir une cyberattaque place l’entreprise victime dans une situation de risques multiples difficile à appréhender pour l’assureur comme pour la potentielle victime. Il est ici possible de distinguer :

Un risque matériel/financier/d’exploitation :

pannes, blocages de l’entreprise et de son activité, etc.

Un risque d’image :

Avec l’obligation de notification aux personnes concernées dans les cas les plus graves, ou encore en cas de publicité d’une décision de sanction de la CNIL suite à une défaillance de sécurité, nul doute que l’image de l’entreprise victime s’en trouvera entachée. La perte de confiance des clients, partenaires et investisseurs doit ici être évaluée.

Un risque juridique:

La seule législation sur la protection des données expose l’entreprise victime à des sanctions financières pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial consolidé.

Pour être « assurable » un risque doit pouvoir être évalué et faire l’objet d’une prédiction fiable par l’assureur, cette prédiction étant réalisée au travers d’études actuariales de sinistres antérieurs.

La difficulté réside ici dans le fait que les techniques de cyberattaques sont en perpétuelle évolution et qu’elles génèrent des conséquences de plus en plus variées, rendant moins fiables les analyses prédictives effectuées en amont. 

3. L’assurance cyber au cœur du dispositif de mise en conformité

Si certains contrats d’assurance « classiques » peuvent parfois couvrir une partie des risques cyber – c’est par exemple le cas de certains contrats d’assurance visant les dommages aux biens ou certains contrats de responsabilité civile – l’avenir est à la conclusion de contrats d’assurance dédiés au risque cyber et couvrant les sinistres liés à :

• la protection des données personnelles (données bancaires, données de santé, NIR etc.) comme des données sensibles stratégiques de l’entreprise (secret des affaires, savoir-faire etc.)
• l’intégrité des systèmes d’information que la faille de sécurité soit d’origine interne (salarié malveillant, erreur humaine) ou externe (hacking, attaques de concurrents).

Ce type de couverture s’inscrit dans une logique globale de mise en conformité juridique ne serait-ce qu’au regard de la réglementation précitée sur la protection des données à caractère personnel.

Seront ainsi généralement couverts les frais d’expertise informatique pour stopper l’intrusion, la prise en charge des prestations d’accompagnement juridique et de communication de crise, les frais de notification, les pertes de chiffre d’affaires, les frais de négociation dans l’hypothèse d’extorsion.

Anciennement appelées « autorités de protection des données », une ou plusieurs agences gouvernementales dans un État membre qui surveillent l’application des lois de ce pays en matière de protection des données, comme par exemple l’Office of the Data Protection Commissioner en Irlande ou les 18 autorités nationales et régionales en Allemagne.

Base de données accessibles dans l’environnement de travail immédiat pour les services opérationnels

La base légale d’un traitement est ce qui autorise légalement sa mise en oeuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. Six bases légales sont prévues par le RGPD  :

• Le consentement,
• L’exécution du contrat,
• Une obligation légale,
• La sauvegarde des intérêts vitaux de la personne concernée,
• Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
• Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement

BCR signifie règles d’entreprise contraignantes. Ces règles internes applicables à l’ensemble des entités d’un groupe contiennent des principes clés permettant d’encadrer les transferts de données personnelles, de salariés ou de clients et prospects, hors de l’Union européenne. Ces BCRs sont une alternative au Safe Harbor (qui ne vise que les transferts vers les États-Unis) ou aux Clauses Contractuelles Types adoptées par la Commission européenne. Elles garantissent qu’une protection équivalente à celle octroyée par la directive européenne de 1995 s’applique aux données personnelles transférées hors de l’Union européenne.

La cartographie des traitements est essentielle pour bien répertorier vos traitements et construire vos registres des traitements. Elle vous permet de recenser les données personnelles traitées par votre organisme et d’avoir ainsi une vision globale de ces données et leurs utilisations. C’est à partir de votre cartographie des traitements que vous pourrez obtenir votre score de conformité au RGPD et identifier les points d’amélioration sur lesquels travailler. C’est donc un indispensable à réaliser lors de votre mise en conformité.

Les catégories de données personnelles sont les types d’informations recueillies.

Exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.

Terme simplifié à privilégier : type d’information.

C’est une procédure par laquelle un organisme d’évaluation externe (appelé également tiers certificateur) va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel. La loi donne à la CNIL un pouvoir de certification plus étendu que celui prévu par le RGPD en ce qui concerne la certification  de personnes (par exemple : le référentiel de certification des compétences du DPO).

La CNIL peut directement certifier des organismes et  agréer des organismes certificateurs ou, selon les cas, choisir de collaborer avec le Comité Français d’Accréditation (COFRAC). La certification est contraignante, elle donne lieu à un contrôle régulier, par le tiers certificateur, du respect du référentiel via  des audits et des examens et doit être renouvelée.

Il s’agit de modèles de clauses contractuelles adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles effectués par des responsables de traitement vers des destinataires situés hors de l’Union européenne. Elles ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert. On distingue les transferts de responsable de traitement à responsable de traitement et les transferts de responsable de traitement à sous-traitant. Il existe donc deux types de clauses afin d’encadrer chacun des transferts.

Le click-through rate est un indicateur d’efficacité d’une campagne de marketing numérique, que cette efficacité soit due au contenu de la campagne en elle-même ou à son placement (par exemple grâce au ciblage). Il correspond au nombre de clics sur le contenu publicitaire divisé par le nombre d’impressions du contenu. Plus le résultat est élevé, plus la campagne peut être considérée comme efficace. Certaines solutions de publicité ciblée utilisent cet indicateur pour facturer leurs clients (qui payent alors au « coût par clic » ou CPC) comme alternative à la plus traditionnelle facturation au nombre d’impression (« coût par mille impressions » ou CPM).

Action visant à réduire la possibilité de corréler des données à caractère personnel et de provoquer une violation de l’ensemble des données (identifier les données propres à chaque métier, les séparer logiquement, etc.).  

Les codes de conduite traduisent une application concrète de la réglementation sur la protection des données à un secteur d’activité donné et se composent de bonnes pratiques (durée de conservation, mention d’information, modes opératoires…).

Ils sont élaborés par les acteurs professionnels (fédérations, organisations professionnelles). Un organisme peut librement adhérer à un code de conduite. Le RGPD prévoit qu’un organisme tiers sera chargé de contrôler le respect d’un code ce qui confère à cet outil de conformité un caractère contraignant. Les codes de conduites peuvent être européens ou nationaux ; dans ce dernier cas, la CNIL validera leur contenu avant de les publier.

Le CEPD ou Comité Européen de Protection des Données, dispose de pouvoirs contraignants, notamment pour les traitements transeuropéens mis en œuvre par un RT dans plusieurs états de l’UE. Il est l’autorité finale qui arbitre et donne un avis définitif, en cas de contradiction entre cnil.

Statut particuliers pour les traitements transnationaux (un traitement unique effectué dans plusieurs pays, toutes les autorités nationales sont compétentes). Le RT peut choisir l’autorité nationale compétente dite Autorité référente ou chef de file.

Le CEPD surveille et garanti la bonne application du RGPD ; conseille la Commission sur toute question relative à la protection des DCP ; conseille la Commission, en ce qui concerne les règles d’entreprise contraignantes, l’échange d’informations entre les RT/ST/autorités, et procédures ; publie des lignes directrices, des recommandations et des bonnes pratiques ; examine toute question portant sur l’application du RGPD ; procède à l’agrément des organismes de certification et à leur examen ; rend à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale; émet des avis sur les projets de décisions des autorités de contrôle ; Incite à la coopération et l’échange bilatéral et multilatéral d’informations et de bonnes pratiques, élabore des programmes de formation conjoints, facilite les échanges de personnel entre autorités.

Autorité administrative indépendante créée en 1978, composée d’un collège pluraliste de 17 commissaires, provenant d’horizons divers (4 parlementaires, 2 membres du Conseil économique et social, 6 représentants des hautes juridictions, 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1), par le Président du Sénat (1), par le Conseil des ministres (3). Le mandat de ses membres est de 5 ans.

Cette conférence se tient chaque année à l’automne. Elle réunit l’ensemble des 81 autorités et commissaires à la protection des données et à la vie privée de tous les continents. Elle est ouverte aux intervenants et participants du monde économique, des autorités publiques, et de la société civile. Une partie de la Conférence est réservée aux représentants des autorités accréditées par la Conférence, durant laquelle sont adoptées les résolutions et déclarations.

Selon l’Organisation mondiale de normalisation (ISO), la confidentialité des données consiste à s’assurer que les données ne sont accessibles qu’aux personnes autorisées, et donc à protéger les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.

Les plateformes de gestion du consentement permettent aux éditeurs de site web ou d’applications mobiles de mettre facilement en place une interface de recueil du consentement des utilisateurs.

Ces outils affichent une fenêtre contextuelle lors de la première visite d’un site, affichent les différentes finalités et responsables de traitements, conservent les choix des utilisateurs et mettent en place des solutions pour respecter ces choix.

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Note : Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Ilest aussi simple de retirer que de donner son consentement.

Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Le consentement est une des 6 bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données à caractère personnel. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque et conforme aux conditions définies aux articles 4 et 7 du RGPD. Le consentement est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques (Ex : prospection commerciale par emailing).

4 CRITÈRES CUMULATIFS DE VALIDITÉ

Libre : consentement non contraint et non influencé

La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. « Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service. »

Spécifique : consentement pour une finalité déterminée

Si un traitement concerne plusieurs finalités, les personnes doivent pouvoir consentir indépendamment et librement pour une ou plusieurs finalités.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant son consentement :

L’identité du responsable du traitement ; les finalités poursuivies ; les catégories de données collectées ; l’existence d’un droit de retrait du consentement ; L’existence éventuelle d’un traitement avec décision individuelle automatisée ou d’un envoi en pays-tiers.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs, et ce sans ambiguïté, quant à l’expression du consentement.

Modalités de recueil du consentement non valides : les cases pré-cochées ou pré-activées ; les consentements « groupés »  où un seul consentement est demandé pour plusieurs traitements distincts ; l’inaction : non réponse à un mail de demande de consentement.

Le contrôleur européen de la protection des données (CEPD ou EDPS en anglais) est l’autorité de contrôle indépendante des institutions européennes (par exemple la Commission européenne) sur la protection des données.

Il ne doit pas être confondu avec le Comité européen sur la protection des données (CEPD ou EDPB en anglais).

En savoir plus sur les missions et pouvoirs du Contrôleur européen de la protection des données.

Personne physique ou morale responsable d’un traitement ou d’un fichier contenant des données personnelles.

Procédure administrative effectuée auprès de la CNIL et autorisant les traitements de données personnelles au sein d’un organisme. Cette procédure est supprimée avec l’application du GDPR/RGPD et est remplacée par un processus dit de « registre ».

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats.

L’article 38 du RGPD, Fonction du délégué à la protection des données du RGPD, stipule que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

L’alinéa 5 de l’article 37, Désignation du délégué à la protection des données, stipule que le DPO est « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Les demand-side platforms (DSP) sont les intermédiaires permettant aux régies publicitaires et annonceurs de réaliser leurs achats d’inventaires. Elles transfèrent ensuite ces ordres d’achat sur des plateformes d’échanges publicitaires, par exemple lors d’enchères en temps réel.

Une demande d’exercice de droits peut être effectuée par n’importe quelle personne dont les données personnelles sont traitées par votre organisme : client, salarié, administré, prestataire, prospect, partenaire, etc. La personne peut par exemple, à tout moment, demander une copie de ses données que vous détenez, en demander la rectification ou la suppression. Lorsqu’une personne concernée exerce un droit, l’organisme doit le prendre en compte, et y répondre dans la limite des délais légaux.

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Note : les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.

Discovery est le nom donné à la procédure américaine permettant, dans le cadre de la recherche de preuves pouvant être utilisées dans un procès, de demander à une partie tous les éléments d’information (faits, actes, documents…) pertinents pour le règlement du litige dont elle dispose quand bien même ces éléments lui seraient défavorables.

Les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

Il n’y a pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes. Le règlement général sur la protection des données (UE) 2016/679 ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

Caractéristique physique ou biologique permettant d’identifier une personne (ADN, contour de la main, empreintes digitales…).

Découvrir la biométrie

Données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question.

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

Une personne physique peut être identifiée :

• directement (exemple : nom et prénom) ;
• indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

• à partir d’une seule donnée (exemple : nom) ;
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).

Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1[@]email.fr ») ne sont pas, en principe, des données personnelles.

Les données sensibles forment une catégorie particulière des données personnelles.

Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants :

• si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union européenne.

Connaître vos droits

Droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel.

Droit de recevoir du responsable de traitement dans un format structuré, couramment utilisé et lisible par machine, ses données à caractère personnel et de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées en premier lieu y fasse obstacle.

Dans un arrêt du 13 mai 2014, la Cour de Justice de l’Union européenne a confirmé que les moteurs de recherche sont responsables de traitement. À ce titre, ils doivent respecter le droit européen à la protection des données personnelles. Désormais les personnes peuvent leur demander directement de désindexer une page web associée à leurs nom et prénom. Ce déréférencement ne signifie pas l’effacement de l’information sur le site internet source. Le contenu original reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant d’autres mots-clés de recherche ou en allant directement sur le site à l’origine de la diffusion.

Plus d’informations sur le site de la CNIL

Toute personne peut prendre connaissance de l’intégralité des données la concernant dans un fichier en s’adressant directement à ceux qui les détiennent et en obtenir une copie gratuitement.

En savoir plus sur le droit d’accès

La personne a le droit d’obtenir la confirmation que ses DCP sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données, ainsi que les informations suivantes : les finalités du traitement ; les catégories de DCP concernées ; les destinataires auxquels les DCP ont été, ou seront communiquées ; la durée de conservation des DCP ; l’existence du droit à la rectification ou l’effacement de données ; l’existence du droit de demander la limitation/opposition au traitement ; le droit d’introduire une réclamation auprès d’une autorité de contrôle ; toute info quant à la source des DCP, si collecte indirecte ; l’existence d’une prise de décision automatisée (importance et conséquences) ; le droit d’être informée des garanties appropriées, si transfert DCP pays tiers ; une copie des DCP faisant l’objet d’un traitement.

Toute personne peut demander que la CNIL vérifie les renseignements qui peuvent la concerner dans les fichiers intéressant la sûreté de l’État, la Défense et la Sécurité publique.

Connaître vos droits

Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier, et peut refuser sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection commerciale.

Connaître vos droits

Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Connaître vos droits

Jeu de données (texte, sons, images, listes, etc.) utilisé lors de la phase d’entrainement / d’apprentissage : le système s’entraîne sur ces données pour effectuer la tâche attendue de lui.

Un fichier est un traitement de données qui s’organise dans un ensemble stable et structuré de données. Les données d’un fichier sont accessibles selon des critères déterminés.

La finalité du traitement est l’objectif principal de l’utilisation de données personnelles.

Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.

Exemples de finalité : gestion des recrutements, gestion des paies, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

Termes simplifiés à privilégier : objectif, objet, raison, etc.

Ensemble des formalités déclaratives à effectuer auprès de la CNIL avant la mise en œuvre d’un traitement de données personnelles ; selon les cas, il peut s’agir d’une déclaration ou d’une demande d’autorisation.

La formation restreinte de la CNIL est composée de 5 membres et d’un Président distinct du Président de la CNIL. Elle peut prononcer diverses sanctions à l’égard des responsables de traitement qui ne respecteraient pas la loi. Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions pécuniaires peuvent être rendues publiques.

Découvrir la procédure de sanction

L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationale. Cette organisation réunissant l’ensemble des CNIL européennes a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière tous les deux mois environ.

Protéger les données en Europe et dans le monde

Capacité légale à accomplir certaines opérations ou à exercer certains pouvoirs. Dans le cadre du RGPD, il s’agit de donner l’accès aux seules données nécessaires à l’accomplissement de leurs missions, après avoir identifié les responsabilités des utilisateurs. Une revue annuelle des habilitations doit être effectuée afin d’identifier et de supprimer les comptes non utilisés et de réaccorder les droits selon les fonctions de chaque utilisateur.

Il s’agit ici d’être conforme à l’article 32 de la loi informatique et libertés et les articles 12, 13 et 14 du Règlement général sur la protection des données (RGPD) ; garantir l’information des personnes et donc éviter la collecte de données à leur insu ; vérifier que le traitement ne fait pas l’objet d’une exception ou de conditions particulières mentionnées dans l’article 32 de la loi informatique et libertés (utilisateur des réseaux de communication électronique, statistiques, anonymisation, sûreté de l’État, défense, sécurité publique, exécution de condamnations pénales, mesures de sûreté, prévention, recherche, constatation ou poursuite d’infractions pénales).notion de Finalité du traitement correspond à l’objectifs poursuivi pour un traitement de données. Il est central puisqu’il s’agit de la finalité dudit traitement sur des DCP mis en œuvre par le Responsable de traitement.

Une injonction sous astreinte est un ordre de se mettre en conformité accompagné d’une somme à payer en cas de non-respect de la décision. La décision qui force le paiement de cette somme s’appelle une liquidation d’astreinte.

Exemple : la CNIL prononce une amende à l’encontre d’un organisme X ainsi qu’une injonction sous astreinte de 100 euros par jour de retard en lui laissant deux mois pour se mettre en conformité.

Si l’organisme X attend 2 mois et 10 jours avant de se mettre en conformité, il devra payer 1 000 euros (10 jours de retard fois 100 euros).

Un traitement de données personnelle doit être licite, c’est à dire avoir une base légale lui permettant d’être mise en œuvre. Il s’agit d’une des 6 conditions suivantes :

1. la personne concernée a consenti au traitement de ses DCP pour une ou plusieurs finalités spécifiques (consentement).

2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

3. le traitement est nécessaire au respect d’une obligation légale du Responsable de Traitement.

4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne.

5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique du Responsable de Traitement.

6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Responsable de Traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des DCP, notamment lorsque la personne concernée est un enfant.

La personne concernée par une collecte de données dans le cadre d’un traitement, est « informée de la finalité qui est de protéger les biens matériels et immatériels de l’entreprise et sa propre sécurité physique (risque d’exposition aux radiations par exemple, localisation pour faciliter l’évacuation en cas d’incident) ».

A contrario, une finalité illégitime serait par exemple le « contrôle d’accès aux lieux de pause et d’aisance » pour des raisons évidentes de contrôle illégal.

Les listes d’opposition recensent les personnes qui ont fait connaître leur opposition à être prospectées dans le cadre d’opérations de marketing.

Loi dite Informatique et Libertés n°78-17 du 06 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

Une décision de la Présidente de la CNIL qui énumère les manquements reprochés à l’organisme mis en cause ainsi que les mesures qu’il doit prendre, pour se mettre en conformité dans un délai fixé. À ce stade, la procédure de sanction n’est pas encore engagée. En cas de conformité dans le délai fixé, la procédure est clôturée. À défaut, la Présidente de la CNIL peut désigner un rapporteur qui pourra proposer à la formation restreinte de prononcer une sanction. La mise en demeure peut être rendue publique.

Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Exemple : Collecter et conserver le statut marital d’un salarié n’apparaît pas nécessaire à l’activité RH.

Termes simplifiés à privilégier : restriction, limitation au strict nécessaire.

L’ensemble de mesures appropriées que le responsable du traitement doit mettre en œuvre pour garantir une sécurité appropriée des données à caractère personnel, qu’il traite y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Le NIR ou numéro de sécurité sociale est attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE.

Notification à l’autorité de contrôle d’une violation de DCP (art 33). Le RT notifie 72 heures au plus tard après avoir pris connaissance de la violation. Exception : si pas de risque pour les droits et libertés des personnes physiques.
Si délais > 72H : motifs du retard. Le ST notifie au RT toute violation de DCP dans les meilleurs délais. La notification doit : décrire la nature de la violation de DCP y compris les catégories et le nombre de personnes et d’enregistrements concernés ; communiquer le nom et les coordonnées du DPO pour infos complémentaires ; décrire les conséquences probables de la violation ; décrire les mesures prises ou proposées pour remédier à la violation ou en atténuer les éventuelles conséquences négatives ; documenter la violation en indiquant les faits, ses effets et les mesures prises.

L’open data désigne un mouvement, né en Grande-Bretagne et aux États-Unis, d’ouverture et de mise à disposition des données produites et collectées par les services publics (administrations, collectivités locales…).

Découvrir l’open data

Pays vers lesquels les transferts de données personnelles sont autorisés : la Suisse, le Canada, Andorre, l’Argentine, les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US relatif à la protection des données ou « Privacy Shield’), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l’Uruguay

Les états non membres de l’Union européenne ou l’espace économique européen.

Le transfert de données vers les pays tiers ne peut se faire que sous certaines conditions.

Il s’agit des informations collectées auprès des passagers aériens au stade de la réservation commerciale. Elles permettent d’identifier, entre autres : l’itinéraire du déplacement, les vols concernés, le contact à terre du passager (numéro de téléphone au domicile, professionnel, etc.), les tarifs accordés, l’état du paiement effectué, le numéro de carte bancaire du passager, ainsi que les services demandés à bord tels que des préférences alimentaires spécifiques (végétarien, asiatique, cascher, etc.) ou des services liés à l’état de santé du passager.

Le terme “Privacy” ou “vie privée » évoque l’ensemble des libertés et droits fondamentaux (notamment ceux évoqués dans le [RGPD], par les articles 7 et 8 de la [Charte-UE] et l’article 1 de la [Loi-I&L] : « vie privée, identité humaine, droits de l’homme et libertés individuelles ou publiques »).

Principe imposant aux Responsables de Traitements d’intégrer les principes du RGPD dès la conception d’un projet ou d’un service utilisant des DCP. Mesure préventive ayant pour finalité la minimisation des risques d’abus par les Responsables de Traitements, et la violation des données à caractère personnel des clients et utilisateurs.

Les grands principes : Conception de mesures préventives et proactives (prévoir les sources et scénarios possibles de violations de DCP) ; Protection par défaut > Privacy by default (l’ensemble des DCP traité doit être protégé) ; Prise en compte des règles sur la protection de la vie privée dès la phase de conception et durant tout le cycle de vie du traitement (inclus dans le design) ; Protection optimale et intégrale (dite « full-fonctionnality ») ; Sécurité tout au long de la conservation des DCP (dite « sécurité end-to-end », nécessitant un chiffrement de bout en bout et une information aux utilisateurs) ; Visibilité et transparence (information utilisateurs en rendant disponible une documentation et en fournissant des points de contact ; Respect de la vie privée (dite « Privacy»).

Le Privacy Shield (Bouclier de protection des données en français), était un mécanisme d’auto-certification pour les sociétés établies aux État-Unis d’Amérique.

Ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis. Le Privacy Shield UE-États-Unis était entré en vigueur le 1^er août 2016.

La décision d’adéquation de la Commission européenne validant le Privacy Shield a été annulée par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet 2020 (arrêt dit « Schrems II »). Il ne constitue plus une garantie juridique suffisante pour transmettre des données personnelles de l’Union européenne vers les États-Unis.

Comment transférer des données en dehors de l’Union européenne ?

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable; Note : Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable.

Le quantified self désigne la pratique de la « mesure de soi » et fait référence à un mouvement né en Californie qui consiste à mieux se connaître en mesurant des données relatives à son corps et à ses activités.

Collaborateurs désignés en interne pour relayer les informations du DPO aux collaborateurs, les conseiller, veiller au respect des exigences de la CNIL au quotidien, appliquer le plan d’action et remonter les demandes ou incidents au DPO.

Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles. Il permet notamment d’identifier :

• les parties prenantes ;
• les catégories de données traitées ;
• à quoi servent ces données, qui y accède et à qui elles sont communiquées ;
• combien de temps les données personnelles sont conservées ;
• comment elles sont sécurisées.

Terme simplifié à privilégier : liste des fichiers.

En savoir plus sur le registre

Le RGPD, c’est le Règlement Général sur la Protection des Données. Publié en 2016 et entré en application en 2018, le RGPD est une règlementation européenne qui encadre la protection des données personnelles. Il s’adresse à l’ensemble des organismes européens (et internationaux dès lors qu’ils utilisent des données de résidents européens). Découvrez notre dossier complet sur le RGPD pour en savoir plus.

Personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement.

Le Responsable de Traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

On peut donc définir ce terme comme toute entreprise, organisme ou autorité qui collecte, conserve et/ou traite des DCP. Les entreprises BtoB échappent que rarement à l’obligation de conformité puisque, dès lors qu’elle embauchent des salariés, elles traitent des DCP (Exemple : des données du personnel pour l’établissement de fiches de paies, des données inhérentes à des badges d’ouvertures de locaux avec fichage d’horaires d’entrées et de sorties, ou géolocalisation de camions ou de voitures du personnel pour du transport de marchandises).

A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes.

Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

• Prononcer un rappel à l’ordre ;
• Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
• Prononcer une amende administrative.

C’est la formation qui réunit les 17 membres de la CNIL pour se prononcer sur des traitements ou des fichiers et examiner des projets de loi ou de décrets soumis pour avis par le Gouvernement.

La segmentation des données est une méthode permettant la division d’un corpus de données en plusieurs ensembles (par exemple d’entraînement, de validation et de test), soit à partir de critères objectifs (date, âge, etc.) soit de manière aléatoire.

Les services d’intermédiation de la donnée sont un modèle commercial visé par le Data Governance Act qui a pour objectif de permettre aux entreprises et particuliers de partager des données.

Ces services peuvent prendre par exemple la forme de plateformes numériques permettant le libre partage ou contrôle de leurs données par les entreprises et particuliers ainsi que d’exercer leurs droits pour ces derniers.

Le système d’information Schengen (SIS II) est un traitement de donnés composé d’une base centrale située à Strasbourg et, dans chaque pays participant à l’espace Schengen, de bases nationales. Les informations concernent essentiellement des personnes :

• recherchées pour arrestation aux fins d’extradition ;
• étrangères, signalées aux fins de non-admission dans l’espace Schengen à la suite d’une décision administrative ou judiciaire ;
• signalées aux fins de surveillance discrète ou de contrôle spécifique.

Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.

Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat :

• une obligation de transparence et de traçabilité ;
• la prise en compte des principes de protection des données dès la conception et par défaut ;
• une obligation de garantir la sécurité des données traitées ;
• une obligation d’assistance, d’alerte et de conseil (par exemple, une procédure de notification des violations de données personnelles doit être notifiée).

Travailler avec un sous-traitant

Autorité publique ou administration autorisée par un texte à recevoir des informations personnelles.

Voir le guide « tiers autorisés » de la CNIL

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

ou

b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Toute communication, copie, ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. Un simple accès à des données stockées en France à partir d’un terminal situé en Chine est donc un transfert. Les transferts sont interdits en dehors du territoire de l’UE sauf exception.

Le transparency and consent framework est un standard de recueil du consentement proposé par l’IAB (Internet Advertising Bureau). En plus de définir la manière dont le consentement doit être recueilli, ce standard propose des solutions pour transmettre l’information sur le statut du consentement aux différents acteurs de la chaîne publicitaire.

Les dispositifs dits de « vidéoprotection » filment la voie publique et les lieux ouverts au public et sont soumis aux dispositions du code de la sécurité intérieure.

Les dispositifs dits de « vidéosurveillance » concernent des lieux non ouverts au public (locaux professionnels non ouverts au public comme les bureaux ou les réserves des magasins) et sont soumis aux dispositions de la loi « Informatique et Libertés ».

Une violation de la sécurité se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont prévues dans le RGPD.