Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Nouvelle procédure de certification des hébergeurs de données de santé

L’article 1er de l’ordonnance du 12 janvier 2017, relative à l’hébergement de données de santé à caractère personnel, a modifié l’article L. 1111-8 du Code de la santé publique. Désormais, les hébergeurs de données de santé sur support électronique devront être titulaires d’un certificat de conformité dont un décret en Conseil d’Etat fixera les conditions de délivrance. Par ailleurs, le nouvel article reprend les obligations auxquelles les hébergeurs sont soumis, telles que l’interdiction de cession à titre onéreux des données de santé, l’interdiction d’utilisation de celles-ci à des fins autres que la mission d’hébergement et la soumission de ces hébergeurs au secret professionnel. L’ordonnance entrera en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019. Les agréments obtenus avant cette date continueront de produire leurs effets jusqu’à leur terme, et les hébergeurs dont les agréments arriveront à terme dans les douze mois suivant l’entrée en vigueur du nouvel article disposeront d’un délai minimum – qui sera fixé par décret – pour se mettre en conformité.

Pour lire l’ordonnance sur Légifrance

Publication des lignes directrices du G29 sur la portabilité des données

Le 13 décembre 2016, le G29 a adopté des lignes directrices concernant le nouveau droit à la portabilité des données instauré par l’article 20 du Règlement européen sur la protection des données personnelles. Ces lignes directrices visent à préciser ce que recouvre cette notion de portabilité, sur quelles données ce droit s’appliquera, de quelle manière il s’orchestrera avec le reste de la réglementation et comment il sera mis en œuvre. Ainsi, le G29 indique notamment que la portabilité devrait s’appliquer aux traitements de données réalisés par des moyens automatisés, en exécution d’un contrat ou pour lesquels la personne concernée aura fourni son consentement préalable. Les données visées correspondent aux informations que la personne aura fournies elle-même au responsable de traitement ou qu’elle aura générées par son activité. Jusqu’à la fin du mois de janvier 2017, il est possible de faire parvenir au G29 des commentaires à ce sujet.

Pour lire les lignes directrices du G29 (en anglais)

Sanction de la CNIL pour défaut de recueil du consentement exprès préalablement à la collecte de données sensibles

Par deux délibérations du 15 décembre 2016, la CNIL a prononcé des sanctions pécuniaires rendues publiques à l’encontre de deux sites internet de rencontres en raison du défaut de recueil du consentement exprès de leurs utilisateurs concernant la collecte de leurs données relatives à leur orientation sexuelle et, pour l’un des sites, à leurs origines raciales ou ethniques et opinions politiques, philosophiques ou religieuses, qui sont des données sensibles. La CNIL a en effet estimé que le recueil de ce consentement par le biais d’une seule et unique case à cocher relative à trois informations distinctes (majorité, acceptation des CGU et traitement des données sensibles) diluait l’information et que le renseignement spontané de ces données par les utilisateurs n’équivalait pas à un consentement exprès au sens de l’article 8 de la loi Informatique et Libertés.

Pour lire la première et la seconde délibération sur le site de la CNIL

Rapport sur les modalités de régulation des algorithmes de traitement des contenus  

Le 15 décembre 2016, le Conseil Général de l’Economie a remis à la secrétaire d’Etat chargée du numérique le rapport “Modalités de régulations des algorithmes de traitement des contenus”, relatif aux algorithmes “utilisés sur le web pour filtrer des contenus, ordonner des réponses à une recherche, sélectionner les informations pertinentes, faire des recommandations, calculer un score, prévenir un événement ou un risque”. Le rapport ne “propose pas une nouvelle régulation sectorielle” mais incite néanmoins à développer la capacité à “tester et contrôler les algorithmes eux-mêmes”, tout en préservant l’innovation. Pour y parvenir, le rapport émet cinq propositions, notamment la création d’une plateforme collaborative scientifique de développement d’outils logiciels et de méthodes de test d’algorithmes et la création d’un “bureau des technologies de contrôle de l’économie numérique” au sein de la DGCCRF.

Pour lire le rapport sur le site du Ministère de l’économie

Adoption du décret autorisant la création du traitement “Titres électroniques sécurisés” (TES) malgré les réserves de la CNIL

Le 28 octobre 2016 a été adopté un décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, dénommé Titres électroniques sécurisés” (TES) et destiné à “procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation” de ces titres et à “prévenir et détecter leur falsification et contrefaçon”. Les personnes ayant accès au fichier TES sont limitativement énumérées par le décret, qui précise également que les données seront conservées 15 ans s’agissant des passeports et 20 ans s’agissant des cartes nationales d’identité. Le projet de décret avait fait l’objet d’un avis de la CNIL, publié le 29 septembre 2016, par lequel elle avait émis des réserves, appelant notamment de ses vœux l’organisation d’un débat parlementaire compte tenu des enjeux soulevés par un tel traitement “comportant des données particulièrement sensibles relatives à près de 60 millions de français”.

Pour lire le décret sur Légifrance et la délibération de la CNIL

L’adresse IP dynamique : une donnée personnelle sous conditions

Par un arrêt du 19 octobre 2016, la CJUE, statuant sur question préjudicielle du juge allemand, a jugé qu’une adresse IP “dynamique”, enregistrée par un fournisseur de services de média en ligne lors de la consultation par une personne d’un site internet qu’il rend accessible au public, constituait une donnée à caractère personnel dès lors que ledit fournisseur disposait de “moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne”. La Cour a également jugé que la continuité de fonctionnement de ces services pouvait constituer un intérêt légitime justifiant un tel traitement au sens de l’article 7 f) de la directive de 1995 sur les données personnelles.

Pour lire l’arrêt de la CJUE

Caractère excessif de la sanction de publication sans limite de temps d’une délibération CNIL

Par un arrêt en date du 28 septembre 2016, le Conseil d’Etat a annulé la délibération du 12 février 2015 par laquelle la CNIL avait prononcé un avertissement à l’encontre d’un directeur de théâtre qui avait utilisé les adresses de messagerie électronique de ses abonnés à des fins de communication politique, étrangères aux finalités du traitement. En effet, la CNIL avait assorti cet avertissement d’une sanction complémentaire de publication de la délibération, sans toutefois en préciser la durée. Le Conseil d’Etat a approuvé le raisonnement de la CNIL sur le fond, mais a annulé la peine complémentaire au motif que celle-ci était excessive, puisqu’“en omettant de fixer la durée pendant laquelle la publication de l’avertissement restait accessible de manière non anonyme sur [son site internet ainsi que le site Légifrance], la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle”. La fixation de la durée de cette sanction complémentaire est renvoyée à la formation restreinte de la CNIL.

Pour lire l’arrêt sur Légifrance

Loi pour une République numérique : service de coffre-fort numérique

La loi pour une République numérique du 7 octobre 2016 porte création d’un article L. 137 dans le Code des postes et des communications électroniques (CPCE), lequel définit le service de coffre-fort numérique. Il s’agit d’un service qui a pour objet notamment “la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine”, “la traçabilité des opérations réalisées sur ces documents ou données”, et “de donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert”. Une certification pourra être  accordée selon  un  cahier des charges proposé par l’ANSSI après avis de la CNIL et approuvé par arrêté du ministre chargé du numérique. Un décret d’application précisera les modalités de mise en œuvre et de certification du service.

Pour lire l'article dans le Code des postes et des communications électroniques