Archives du mot-clé RGPD

RGPD : la CNIL frappe fort

C’est d’une amende record dont vient d’écoper Google pour non respect des règles européennes posées par le RGPD en matière de protection des données personnelles. Une amende de 50 millions d’euros qui, selon la CNIL, se justifie par « la gravité des faits ».

L’année 2019 commence fort à la CNIL. Ce lundi 21 janvier, elle prononce une amende record désormais possible par application du barème des amendes prévu par le RGPD. Rappelons que les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires mondial (et avec Google on a encore de la marge…).

C’est en mai 2018, et cela dès le 25 (jour de l’entrée en vigueur du RGPD!) que la CNIL avait été saisie de 2 demandes d’associations de défense des internautes : la Quadrature du Web et None of Your business. La Quadrature du Web agissait au nom de 10 000 internautes. Les faits concernent le parcours de l’utilisateur sur un smartphone Android désireux de créer un compte pour utiliser son smartphone. Pour les associations plaignantes, la demande de consentement ne respecte pas les règles imposées par le RGPD.

Alors, que peut-on reprocher en l’espèce au géant du web. En voici un petit florilège dressé par la CNIL :

  • des informations pas aisément accessibles à l’internaute, notamment parce que disséminées dans plusieurs documents, et parfois avec des boutons ou des liens à activer. De quoi décourager l’internaute, même soucieux de la protection de ses données. L’enquête révèle la nécessité, parfois, de 5 à 6 clics pour pouvoir accéder à une information
  • les finalités décrites de manière trop générique,
  • certaines durées de conservation des données qui ne sont pas mentionnées
  • une case pré cochée pour l’acceptation de l’affichage des publicités personnalisées,
  • les catégories de données utilisées pour la personnalisation de la publicité ne sont pas précisées
  • et même une acceptation « en bloc« . Ainsi, avant de créer son compte, l’internaute se voit proposer : « J’accepte les conditions générales d’utilisation de Google » ou encore « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ».

Ces pratiques sont en effet loin des exigences du RGPD qui requiert un consentement « positif » et « univoque ». La CNIL en déduit que l’internaute n’est pas en mesure de comprendre l’ampleur des traitements mis en place par Google alors que ceux-ci sont massifs et intrusifs.

Pour la CNIL, le consentement de l’internaute n’est pas, dans ces conditions, donné de manière éclairée et prononce donc une amende record de 50 millions d’euros, dont le montant se justifie « par la gravité des manquements constatés qui concernent les principes essentiels du RGPD : la transparence, l’information, le consentement »

Le 24 janvier Google a déclaré son intention de faire appel de la décision de la CNIL auprès du Conseil d’État.

A lire également :

  • RGPD – de nouvelles obligations pour les marques – 5 mars 2018
  • RGPD – 1, le consentement en 10 questions, 28 mai 2018
  • RGPD – 2, le traitement en 10 questions, 3 juin 2018

#RGPD : 2- le traitement en 10 questions

Dans un précédent article nous avons fait le point sur le consentement indispensable à la collecte et à l’exploitation des données personnelles. Le consentement acquis, le traitement des données devient possible. Mais lui aussi encadré. Tour d’horizon des exigences en 10 questions-clés.

RGPD

1- Que faut-il entendre par « traitement? »

Le guide réalisé par la CNIL en collaboration avec bpifrance définit le traitement comme « une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé ». Il convient de considérer par prudence qu’aucune opération relative à des données collectées n’échappe à cette définition, donc au champ d’application du RGPD. Et bien entendu, les traitements non informatisés sont tout autant concernés.

2- Quelle est la finalité des règles mises en place?

On peut se référer au 4ème considérant du texte qui stipule « Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ». Et si le 1er considérant affirme « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental », ce droit ne doit toutefois pas être considéré comme un droit absolu. Il doit être analysé par rapport à sa fonction et peut être mis en balance avec d’autres droits fondamentaux.

C’est tout l’enjeu du RGPD. Réussir à trouver un équilibre entre la nécessité de mieux protéger les données personnelles tout en ne portant pas atteinte à l’essor de l’économie numérique. Un équilibre sans doute par facile à trouver et qui passe par l’instauration d’un climat de confiance entre les acteurs du numérique.

3- Le traitement obéit-il à une règle de base?

Le principe de base de tout traitement est qu’il doit être licite et loyal. Pour être licite, le traitement reposera obligatoirement sur un consentement obtenu en conformité aux exigences du RGPD. Et pour être loyal, le traitement reposera sur le principe de transparence.

4- Qu’implique le principe de transparence?

Le principe de transparence est assez exigeant. Il nécessite que toutes les informations relatives au traitement des données soient aisément accessibles, faciles à comprendre donc claires. Il exige que les finalités du traitement soient explicites et que les titulaires des données soient informés des risques, de leurs droits et garanties. Les titulaires des données traitées doivent également pouvoir connaître l’identité de la personne responsable du traitement.

Lorsque la collecte des données a pour but un profilage marketing, cela doit être clairement annoncé lors de la sollicitation du consentement. A défaut, le traitement ne pourrait être considéré comme loyal.

5- La finalité détermine-t-elle la nature des données?

Tout à fait. Pour être conforme, ne pourront être traitées – et donc logiquement collectées – que les données conformes à la finalité. Les données collectées doivent être adéquates et pertinentes par rapport à la finalité du traitement.

6- Peut-on parler d’une obligation « qualité » dans le traitement des données?

Même si cette obligation n’est pas expressément formulée dans le texte, on peut considérer qu’elle existe bel et bien. En son article 5 alinéa d), le RGPD exige que les données soient « exactes et si nécessaire tenues à jour ». Cette obligation d’exactitude implique donc la vérification des données, leur effacement ou leur rectification. Le texte précise même « sans tarder ».

7- Existe-t-il une durée de conservation des données?

En effet, un traitement ne peut être loyal que si les données ne sont conservées que sur une durée conforme à la finalité. A quoi serviraient par exemple des données collectées et traitées en vue d’un profilage marketing et conservées sur du long terme? Le respect de la loyauté nécessite que le responsable du traitement réactualise périodiquement les fichiers et procède bien entendu à l’effacement des données qui ne permettent plus d’atteindre la finalité.

8- Peut-on accéder aux données?

Le texte du RGPD prévoit expressément que le titulaire dispose d’un droit d’accès à ses données. Il peut exercer ce doit à « des intervalles raisonnables » afin de « prendre connaissance du traitement et d’en vérifier la licéité ».

9- Et les faire modifier?

Le titulaire des données peut en demander la modification si les données conservées sont inexactes ou obsolètes. Il peut également demander la suppression d’une donnée. L’exercice de ce droit devient une évidence si les données ont été collectées de manière irrégulière ou si elles ne sont plus nécessaires à la finalité du traitement.

10- Et le droit à l’oubli?

Le considérant 65 du texte prévoit bien un droit à l’oubli lorsque la conservation des données constitue une violation du Règlement ou du droit de l’Union Européenne ou d’un État membre. Ce droit à l’oubli entrainera l’effacement de toutes les données en cause.

#RGPD : 1 – Le consentement en 10 questions

Le RGPD est entré en vigueur vendredi dernier. Impossible d’y échapper désormais. Mais il est encore temps de s’y conformer car les sanctions ne sont bien entendu pas pour tout de suite. Dans cet article, intéressons-nous à la manière dont le consentement doit être recueilli avant toute utilisation de données personnelles.

RGPD

1- Exiger le consentement du titulaire des données, est-ce nouveau?

Non, cette règle de base n’est pas nouvelle. Depuis déjà plusieurs années, la France, tout comme l’Europe appliquaient le principe d’Opt-in qui nécessite l’accord des intéressés pour la collecte et l’utilisation de leurs données personnelles. Mais ce qu’apporte le RGPD, c’est un encadrement beaucoup plus strict de la manière dont ce consentement doit être obtenu.

2- Quelles sont les règles à observer pour recueillir le consentement?

La règle la plus importante est que le consentement doit être donné par un acte positif et clair.

Positif, ce qui exclut désormais tout consentement par défaut. Finies les cases pré cochées. Finis les consentements considérés comme acquis par l’acceptation des conditions générales d’utilisation ou de vente. En matière de consentement, le silence ne vaut plus acceptation!

Clair, ce qui exclut les consentements équivoques dont les clauses ne seraient pas explicites. Cela exige que l’utilisateur soit clairement informé des finalités de la collecte des données et demain de leur traitement. Cela exige aussi que les finalités soient cohérentes avec l’activité de la personne qui collecte et utilise les données. A noter que cette exigence devrait remettre en cause les achats de fichiers…

Donc, dans l’esprit du RGPD il ne fait aucun doute que si le consentement est destiné à un profilage marketing, cela doit être clairement annoncé comme tel… !

Le RGPD comporte des exigences  élevées quant au formulaire de collecte qui devra ainsi indiquer la finalité, les personnes ayant accès aux données, la durée de conservation, les éventuels transferts lors de l’UE et les modalités de l’exercice des droits du titulaire des données.

 » Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son consentement… » (considérant 32)

3- Sous quelle forme le consentement peut-il être donné?

Le consentement doit reposer sur un acte positif. Il peut-être donné sous la forme d’une déclaration écrite. Dans cette hypothèse, cette déclaration devra être distincte d’autres questions de manière à garantir un accord non équivoque. La déclaration devra être aisément compréhensible. Le RGPD va même jusqu’à suggérer d’illustrer la demande de consentement de visuels… (considérant 58).

Le consentement peut aussi prendre la forme d’une case cochée, d’un clic – mais à condition que la formulation ne prête pas à confusion et que le titulaire des données soit clairement informé de l’enjeu. Il peut aussi être donné verbalement, en boutique par exemple au moment du passage en caisse. Mais attention dans ce cas, l’information donnée oralement devra être complète…

« Il ne saurait dès-lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité » (considérant 32)

4- Qu’en est-il du consentement des mineurs?

Le RGPD prévoit que le mineur d’au moins 16 ans obéit aux mêmes règles que l’adulte majeur. Par contre, en dessous de 16 ans le consentement n’est valable que s’il est donné par le représentant légal.

« Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques » (considérant 38)

5- Certaines données personnelles obéissent-elles à des règles spécifiques?

Tout à fait. Comme le prévoyait déjà la législation française, les données dites sensibles ne peuvent pas être collectées ni conservées (sauf pour des motifs liés à l’intérêt général). Il faut entendre par données sensibles celles qui concernent la race, l’ethnie, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, biométriques, de santé, la vie et l’orientation sexuelle.

6- Qui doit prouver le consentement?

C’est clairement à l’utilisateur des données de prouver que le consentement a été donné dans les conditions exigées. Ce consentement doit donc être tracé et la CNIL peut en exiger la preuve.

7- Le consentement donné pour un canal vaut-il pour d’autres?

C’est clairement non. Le consentement n’est valable que pour le canal ou les canaux pour lesquels il a été donné en toute connaissance de cause.

8 – Un consentement donné pour une finalité peut-il être étendu à d’autres?

C’est encore clairement non. Le consentement ne sera valable que pour la ou les finalités objet(s) de la demande.

9- Un consentement peut-il être modifié ou retiré?

Oui, un consentement donné peut-être modifié et sans justification. Il pourra par exemple être circonscrit à une finalité précise. Le consentement n’est jamais définitif et peut être retiré à tout moment. Ce retrait, prévoit le RGPD, doit être aussi facile que l’acceptation elle-même.

10- Un consentement donné avant l’entrée en vigueur du RGPD reste-il valable?

C’est une question essentielle. Il est prudent de considérer que si le consentement en cause n’avait pas respecté l’esprit du RGPD, il doit être à nouveau sollicité afin d’être mis en conformité.

#RGPD : de nouvelles obligations pour les marques

Le Règlement Général de Protection des données entre en vigueur dans un peu plus de 2 mois, le 25 mai prochain. Il va imposer aux marques de respecter de nouvelles obligations. Plus de transparence pour plus de confiance à une époque où la grande majorité des Français se déclare inquiete quant à la protection des données personnelles.

bruxelles

Obtenir le consentement avant la collecte

Impossible dans l’avenir de collecter les données personnelles par défaut. En effet, le RGPD exige que la marque obtienne le consentement du consommateur/usager par un acte positif. Ce consentement devra être clair, univoque, libre et traçable. Et pour assurer à ce consentement le maximum de clarté, la marque devra, lors de la demande d’autorisation, indiquer la finalité (profilage le plus souvent), la durée de conservation des données, les destinataires, et les éventuels transferts vers d’autres pays

Privacy by default

La marque ne pourra collecter que des données en lien avec sa finalité et en rapport avec l’activité, le produit ou service.

Privacy by design

Toute collecte ou tout traitement de données personnelles doit être conçu dès le départ pour assurer le maximum de sécurité. La marque se devra donc d‘anticiper les risques. Pour cela, il lui faudra également sensibiliser et former son personnel.

Privacy impact assessment

Si les données sont collectées dans le but de profilage, la marque devra conduire une étude des impacts possibles pour les propriétaires des données.

Registre des consentements

La marque (au-delà de 250 personnes) devra tenir à jour un registre dans lequel elle notera les consentements, leur source et les éventuelles demandes de modifications

Registre des traitements

Un registre devra mentionner les traitements opérés avec les données collectées, leurs auteurs, leurs finalités.

Procédure d’alerte

Si les données collectées sont violées (perte, destruction, divulgation) accidentellement ou intentionnellement, la marque devra prévenir la CNIL dans les 72 heures ainsi que les titulaires des données dès-lors qu’un risque existe (par exemple si les données n’étaient pas anonymées ou chiffrées).

RGPD

source : axellescom.com

Le #RGPD fait de la protection des données personnelles sa priorité. Cela permettra peut-être d’assurer une plus grande transparence nécessaire à la sécurité des transactions numériques. La marque est davantage responsabilisée. Mais davantage sanctionnée aussi en cas de dérapage. Avec des peines pouvant aller jusqu’à 4% de son chiffre d’affaires mondial !