Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Publication des lignes directrices du G29 sur la portabilité des données

Le 13 décembre 2016, le G29 a adopté des lignes directrices concernant le nouveau droit à la portabilité des données instauré par l’article 20 du Règlement européen sur la protection des données personnelles. Ces lignes directrices visent à préciser ce que recouvre cette notion de portabilité, sur quelles données ce droit s’appliquera, de quelle manière il s’orchestrera avec le reste de la réglementation et comment il sera mis en œuvre. Ainsi, le G29 indique notamment que la portabilité devrait s’appliquer aux traitements de données réalisés par des moyens automatisés, en exécution d’un contrat ou pour lesquels la personne concernée aura fourni son consentement préalable. Les données visées correspondent aux informations que la personne aura fournies elle-même au responsable de traitement ou qu’elle aura générées par son activité. Jusqu’à la fin du mois de janvier 2017, il est possible de faire parvenir au G29 des commentaires à ce sujet.

Pour lire les lignes directrices du G29 (en anglais)

Sanction de la CNIL pour défaut de recueil du consentement exprès préalablement à la collecte de données sensibles

Par deux délibérations du 15 décembre 2016, la CNIL a prononcé des sanctions pécuniaires rendues publiques à l’encontre de deux sites internet de rencontres en raison du défaut de recueil du consentement exprès de leurs utilisateurs concernant la collecte de leurs données relatives à leur orientation sexuelle et, pour l’un des sites, à leurs origines raciales ou ethniques et opinions politiques, philosophiques ou religieuses, qui sont des données sensibles. La CNIL a en effet estimé que le recueil de ce consentement par le biais d’une seule et unique case à cocher relative à trois informations distinctes (majorité, acceptation des CGU et traitement des données sensibles) diluait l’information et que le renseignement spontané de ces données par les utilisateurs n’équivalait pas à un consentement exprès au sens de l’article 8 de la loi Informatique et Libertés.

Pour lire la première et la seconde délibération sur le site de la CNIL

L’adresse IP dynamique : une donnée personnelle sous conditions

Par un arrêt du 19 octobre 2016, la CJUE, statuant sur question préjudicielle du juge allemand, a jugé qu’une adresse IP “dynamique”, enregistrée par un fournisseur de services de média en ligne lors de la consultation par une personne d’un site internet qu’il rend accessible au public, constituait une donnée à caractère personnel dès lors que ledit fournisseur disposait de “moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne”. La Cour a également jugé que la continuité de fonctionnement de ces services pouvait constituer un intérêt légitime justifiant un tel traitement au sens de l’article 7 f) de la directive de 1995 sur les données personnelles.

Pour lire l’arrêt de la CJUE

Caractère excessif de la sanction de publication sans limite de temps d’une délibération CNIL

Par un arrêt en date du 28 septembre 2016, le Conseil d’Etat a annulé la délibération du 12 février 2015 par laquelle la CNIL avait prononcé un avertissement à l’encontre d’un directeur de théâtre qui avait utilisé les adresses de messagerie électronique de ses abonnés à des fins de communication politique, étrangères aux finalités du traitement. En effet, la CNIL avait assorti cet avertissement d’une sanction complémentaire de publication de la délibération, sans toutefois en préciser la durée. Le Conseil d’Etat a approuvé le raisonnement de la CNIL sur le fond, mais a annulé la peine complémentaire au motif que celle-ci était excessive, puisqu’“en omettant de fixer la durée pendant laquelle la publication de l’avertissement restait accessible de manière non anonyme sur [son site internet ainsi que le site Légifrance], la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle”. La fixation de la durée de cette sanction complémentaire est renvoyée à la formation restreinte de la CNIL.

Pour lire l’arrêt sur Légifrance

Loi pour une République numérique : service de coffre-fort numérique

La loi pour une République numérique du 7 octobre 2016 porte création d’un article L. 137 dans le Code des postes et des communications électroniques (CPCE), lequel définit le service de coffre-fort numérique. Il s’agit d’un service qui a pour objet notamment “la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine”, “la traçabilité des opérations réalisées sur ces documents ou données”, et “de donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert”. Une certification pourra être  accordée selon  un  cahier des charges proposé par l’ANSSI après avis de la CNIL et approuvé par arrêté du ministre chargé du numérique. Un décret d’application précisera les modalités de mise en œuvre et de certification du service.

Pour lire l'article dans le Code des postes et des communications électroniques

Loi pour une République numérique : nouvelles compétences de la CNIL

La loi du 7 octobre 2016 pour une République numérique élargit les compétences de la CNIL. Aux termes de l’article 11 modifié de la loi dite Informatique et libertés, la CNIL est désormais tenue, à la demande d’organisations professionnelles ou d’institutions regroupant des responsables de traitements, de conduire “une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques”, de promouvoir “l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données”, et dispose de la possibilité de certifier ou d’homologuer les processus d’anonymisation mis en œuvre, notamment en vue de la réutilisation d’informations publiques mises en ligne. Le montant maximal des sanctions que la CNIL peut prononcer passe également de 150 000 euros à 3 millions d’euros (article 47 modifié de la même loi).

Pour lire le texte de la loi sur Légifrance

Loi pour une République numérique : la maîtrise des données personnelles

La loi du 7 octobre 2016 pour une République numérique porte création de plusieurs dispositions relatives à la protection des données personnelles. Ainsi, l’article 1er de la loi du 6 janvier 1978 dite Informatique et libertés est enrichi d’un alinéa aux termes duquel “toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi”. Cette maîtrise des données personnelles est notamment assurée par la consécration d’un droit à l’effacement pour les mineurs et par la possibilité d’une gestion post mortem des données en établissant des directives anticipées (articles 40 modifié et 40-1 nouveau de la loi Informatique et Libertés).

Pour lire la loi sur Légifrance

CNIL : avertissement et mise en demeure d’un site de vente en ligne

Par délibérations des 20 et 26 septembre 2016, la CNIL a sanctionné une société de vente en ligne de produits aux particuliers. L’avertissement est principalement fondé sur le non-respect des obligations de sécurité et de confidentialité des données des utilisateurs, ainsi que sur la durée de conservation des données, jugée excessive. La décision de mise en demeure résulte de plusieurs manquements, notamment à l’obligation de recueillir le consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, de leur fournir les informations relatives au traitement réalisé ou encore de mettre en œuvre un mécanisme valable d’opposition. La société dispose de trois mois pour se mettre en conformité.

Pour lire l’avertissement et la mise en demeure de la CNIL