Principes et précautions en matière de fichiers d’exclusion

Par un communiqué du 13 novembre 2017, la CNIL a rappelé aux professionnels les bonnes pratiques et la réglementation relatives aux fichiers d’exclusion qui permettent d’identifier les "mauvais payeurs". Elle énumère les "principes généraux applicables aux fichiers d’exclusion pour motifs d’impayés" ainsi que les précautions à prendre au regard de la loi Informatique et Libertés.

Pour lire le communiqué de la CNIL

Condamnation d’un médecin pour traitement de données de santé sans autorisation de la CNIL

Dans un jugement rendu le 7 juin 2017, le Tribunal correctionnel de Marseille a condamné un médecin hospitalier à une peine de 5 000 euros d’amende “pour avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL”. En l’espèce, une patiente avait porté plainte à son encontre pour violation du secret professionnel après avoir constaté qu’elle avait accès à plusieurs dossiers médicaux en tapant ses nom et prénom sur un moteur de recherche. Une seconde plainte avait été déposée par l’Assistance Publique des Hôpitaux de Marseille suite à une enquête interne qui identifiait le médecin hospitalier comme étant “la responsable de la mise en place de la base de données”, en outre hébergée sur un site dont “le processus d’identification et d’authentification (…) n’était pas sécurisé”.

Pour lire le jugement sur Legalis.net

Sanction pour manquement au droit d’accès et non-coopération avec la CNIL

Une personne avait demandé la transmission de son dossier médical à son ancien cabinet dentaire. En l’absence de réponse de sa part, elle a porté plainte auprès de la CNIL sur le fondement de “l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical”. Face à l’absence de réponse du cabinet médical aux sollicitations de la CNIL, une procédure de sanction a été engagée. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a estimé que le cabinet dentaire avait effectivement manqué à l’obligation de respecter le droit d’accès de son ancien patient. Elle estime que “le secret médical ne [pouvait] s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical” et que “le comportement [belliqueux] du plaignant [était] sans incidence” au contraire de ce que faisait valoir le cabinet médical. La CNIL relève également un manquement aux obligations de répondre à ses demandes puisque ses “cinq courriers (…) sont restés sans réponse”. Eu égard aux manquements relevés, le cabinet dentaire a été condamné à une sanction pécuniaire de 10 000 € et à la publication de la délibération.

Pour lire la délibération de la formation restreinte de la CNIL

Publicité en ligne et règles relatives aux cookies

Le 23 mai 2017, la CNIL a précisé les règles à respecter en matière de publicité en ligne suite aux contrôles menés par ses services auprès de treize émetteurs de cookies tiers. Ces contrôles ont permis d’identifier deux situations : celle où l’"éditeur détermine les moyens et finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes", et celle où l’émetteur de cookies tiers les détermine, visant en pratique le cas de l’émetteur déposant des cookies sur différents sites afin d’enrichir une base qu’il exploite. La CNIL, constatant que ces deux cas de figure s’appliquent souvent simultanément, estime que "la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies", mais considère qu’il appartient dans tous les cas aux éditeurs de sites, "seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes (…) de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer". Elle rappelle toutefois que le cadre réglementaire est susceptible d’évoluer, la Commission européenne ayant annoncé un nouvel instrument pour fin 2017.

Pour lire le communiqué de la CNIL

Absence d’autorisation pour le traçage de déplacements piétonniers

Par un arrêt du 8 février 2017, le Conseil d’Etat a confirmé le refus de la CNIL d’autoriser une expérimentation visant à comptabiliser des flux de piétons au motif de l’insuffisance du procédé d’anonymisation. Une société souhaitait procéder à un traitement de données visant à comptabiliser des déplacements piétonniers par la collecte des adresses des terminaux mobiles des personnes passant à proximité de ses mobiliers urbains. Or, d’une part, le traçage ne satisfaisait pas à l’obligation d’information et aux droits d’opposition, d’accès et de rectification des personnes concernées par le traitement. D’autre part, s’agissant du procédé d’anonymisation, la technique empêchait certes les tiers d’accéder aux données, mais le responsable de traitement pouvait toujours identifier les individus, de telle sorte que les données ne pouvaient être regardées comme rendues anonymes. Enfin, “les objectifs mêmes de la collecte des données (…) étaient incompatibles avec une anonymisation des informations recueillies”, dès lors que le traitement avait “pour objet d’identifier les déplacements des personnes et leur répétition”.

Pour lire l’arrêt sur Legalis.net

Nouvelle procédure de certification des hébergeurs de données de santé

L’article 1er de l’ordonnance du 12 janvier 2017, relative à l’hébergement de données de santé à caractère personnel, a modifié l’article L. 1111-8 du Code de la santé publique. Désormais, les hébergeurs de données de santé sur support électronique devront être titulaires d’un certificat de conformité dont un décret en Conseil d’Etat fixera les conditions de délivrance. Par ailleurs, le nouvel article reprend les obligations auxquelles les hébergeurs sont soumis, telles que l’interdiction de cession à titre onéreux des données de santé, l’interdiction d’utilisation de celles-ci à des fins autres que la mission d’hébergement et la soumission de ces hébergeurs au secret professionnel. L’ordonnance entrera en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019. Les agréments obtenus avant cette date continueront de produire leurs effets jusqu’à leur terme, et les hébergeurs dont les agréments arriveront à terme dans les douze mois suivant l’entrée en vigueur du nouvel article disposeront d’un délai minimum – qui sera fixé par décret – pour se mettre en conformité.

Pour lire l’ordonnance sur Légifrance

Rapport sur les modalités de régulation des algorithmes de traitement des contenus  

Le 15 décembre 2016, le Conseil Général de l’Economie a remis à la secrétaire d’Etat chargée du numérique le rapport “Modalités de régulations des algorithmes de traitement des contenus”, relatif aux algorithmes “utilisés sur le web pour filtrer des contenus, ordonner des réponses à une recherche, sélectionner les informations pertinentes, faire des recommandations, calculer un score, prévenir un événement ou un risque”. Le rapport ne “propose pas une nouvelle régulation sectorielle” mais incite néanmoins à développer la capacité à “tester et contrôler les algorithmes eux-mêmes”, tout en préservant l’innovation. Pour y parvenir, le rapport émet cinq propositions, notamment la création d’une plateforme collaborative scientifique de développement d’outils logiciels et de méthodes de test d’algorithmes et la création d’un “bureau des technologies de contrôle de l’économie numérique” au sein de la DGCCRF.

Pour lire le rapport sur le site du Ministère de l’économie

Adoption du décret autorisant la création du traitement “Titres électroniques sécurisés” (TES) malgré les réserves de la CNIL

Le 28 octobre 2016 a été adopté un décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, dénommé Titres électroniques sécurisés” (TES) et destiné à “procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation” de ces titres et à “prévenir et détecter leur falsification et contrefaçon”. Les personnes ayant accès au fichier TES sont limitativement énumérées par le décret, qui précise également que les données seront conservées 15 ans s’agissant des passeports et 20 ans s’agissant des cartes nationales d’identité. Le projet de décret avait fait l’objet d’un avis de la CNIL, publié le 29 septembre 2016, par lequel elle avait émis des réserves, appelant notamment de ses vœux l’organisation d’un débat parlementaire compte tenu des enjeux soulevés par un tel traitement “comportant des données particulièrement sensibles relatives à près de 60 millions de français”.

Pour lire le décret sur Légifrance et la délibération de la CNIL

Modification de la norme simplifiée gestion de clients et prospects

Par une délibération du 21 juillet 2016, la CNIL a modifié la norme simplifiée NS-048 portant sur les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Cette modification vise à prendre en compte les nouvelles obligations en application du code de la consommation, notamment celle de soumettre ses fichiers de prospection à BLOCTEL, nouvelle liste anti-démarchage téléphonique. La norme ainsi modifiée apporte également des précisions sur la durée de conservation des données, mais aussi sur l’information, le consentement, l’exercice des droits des personnes et les obligations de sécurité des responsables de traitement. Les organismes ayant effectué une déclaration simplifiée en référence à cette norme et ne respectant pas ces nouvelles conditions disposent de 12 mois pour se mettre en conformité.

Pour lire la délibération de la CNIL

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance