Autorité de contrôle de la protection des données en France, la Commission Nationale de l’Informatique et des Libertés (ou CNIL) est dotée d’un pouvoir de sanctions, sur le fondement des articles 20 à 23 de la loi relative à l’informatique, aux fichiers et aux libertés (dite loi informatique et libertés). Le décret du 8 avril 2022 (décret n°2022-517, modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi informatique et libertés), a créé une nouvelle forme de procédure de sanctions au sein de la CNIL.

Aussi, désormais, la CNIL peut sanctionner sous l’angle de la procédure dite ordinaire, ou de la procédure simplifiée.

Toutes les affaires ne peuvent pas être traitées en procédure simplifiée. Cette procédure de sanction ne peut être engagée, par le président de la CNIL, que lorsque l’affaire en question ne présente pas de difficulté particulière, eu égard :

• A l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la CNIL
• Ou parce que les questions de droit ou de fait à trancher sont simples.

Le président de la formation restreinte ou l’un de ses membres désigné à cet effet statue alors seul sur l’affaire.

Cette procédure expose les organismes en cause uniquement aux sanctions suivantes : rappels à l’ordre, des injonctions de mises en conformité, et des amendes jusqu’à 20 000 euros. Les astreintes ne peuvent dépasser un montant de 100 euros par jour de retard. Les sanctions ne sont par ailleurs pas rendues publiques.

Toutefois, il est important de préciser qu’il est possible pour le président de la formation restreinte (organe de sanction de la CNIL) de refuser de recourir à cette procédure simplifiée, ou bien de l’interrompre à tout moment. L’affaire en cause passe alors en procédure ordinaire. Les restrictions concernant les sanctions ne s’appliquent alors plus, notamment sur les montants des amendes et la publicité de la sanction.

En 2024, la CNIL a rendu 87 sanctions, dont plus de la moitié l’ont été en procédure simplifiée : 18 sanctions ont suivi la procédure ordinaire, contre 69 en procédure simplifiée. C’est presque trois fois plus qu’en 2023, où 18 sanctions avaient été rendues en procédure ordinaire, contre 24 en procédure simplifiée.

Les principaux manquements que la CNIL a sanctionnés en procédure simplifiée en 2024 sont le défaut de coopération, le non-respect de l’exercice des droits, le manquement à la minimisation des données ; et enfin le défaut de sécurité des données personnelles.

18 février 2025

Connaitre la civilité des clients est-elle une donnée obligatoire ?  

Dans un arrêt du 9 janvier 2025, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la collecte obligatoire des données de civilité dans le cadre de l’achat de titre de transport en ligne.

Ces informations étaient notamment collectées par une entreprise de transport ferroviaire afin d’envoyer une communication commerciale personnalisée à ses clients. Les données collectées se limitaient à « Madame », « Monsieur ».

A cette occasion, la CJUE a considéré que cette collecte n’est pas objectivement indispensable que le traitement de données en question se fonde sur l’intérêt légitime de l’entreprise, ou sur l’exécution du contrat entre l’entreprise et les acheteurs de titres de transport. En effet, aux termes de la CJUE, la personnalisation de la communication fondée sur l’identité de genre présumée, en fonction de la civilité des personnes, n’est pas indispensable à l’exécution correcte du contrat, c’est-à-dire à la fourniture d’un titre de transport.

S’agissant de la collecte de ces données sur le fondement de l’intérêt légitime, la CJUE considère qu’elle n’est pas nécessaire à plusieurs égards. L’intérêt légitime pourrait être réalisé sans ces données, c’est-à-dire en ne communiquant qu’avec des formules de politesse générique. Les libertés et droits fondamentaux des clients prévalent sur l’intérêt légitime de l’entreprise, vu le risque de discrimination fondé sur l’identité de genre.

Cette analyse se fonde en effet sur les trois critères de l’intérêt comme légitime : le fait que les personnes concernées aient été informées de la collecte des données, le fait que la collecte, et plus généralement le traitement, soit strictement nécessaire au traitement, et la mise en balance entre l’intérêt de l’organisme en cause, et les droits et libertés des personnes concernées.

En l’espèce, la collecte des données de civilité était rendue obligatoire par l’entreprise de transport ferroviaire. Aussi, une bonne pratique dans le cadre de la prospection commerciale est de ne collecter les données de civilité que de façon facultative.

• CJUE, 9 janvier 2025, C-394/23, Mousse c. CNIL

30/01/2025

La règlementation permet aux autorités de contrôle de mettre en œuvre des mécanismes de certification pour démontrer que les opérations de traitements effectuées sont conformes au RGPD. Dans ce contexte, la CNIL a ouvert une consultation publique jusqu’au 28 février 2025 concernant un projet de référentiel de certification des sous-traitants. Le responsable de traitement doit sélectionner un sous-traitant de confiance présentant les garanties suffisantes lui permettant de répondre aux exigences du RGPD.  

Cette certification a pour objectif de mieux orienter les responsables de traitement dans le choix de leurs sous-traitants .Elle permet d’assurer un niveau de garanties, certifiés par des organismes tiers, conformément à un référentiel reconnu par la CNIL, en tant qu’autorité de contrôle en France.  

Comme tout mécanisme de certification, ce processus est volontaire. Il sera ouvert à tout organisme, établi sur le territoire de l’Union européenne, ou d’un Etat membre de l’Espace Economique Européen, agissant en tant que sous-traitant pour un responsable de traitement, et ne se limite pas à un secteur en particulier. Aussi, les sous-traitants auront la possibilité de ne certifier qu’une partie de leurs activités et de leurs services.  

Ce projet de certification comprend 90 points de contrôles, organisés autour de quatre parties : la contractualisation, la préparation de l’environnement de traitement, et notamment les mesures de sécurité, la mise en œuvre du traitement, et la fin du traitement. L’un des critères de certification sera notamment que le sous-traitant doit avoir désigner un délégué à la protection des données auprès d’une autorité de protection des données (qui peut être la CNIL, ou non), ainsi qu’un référent certification qui pourra être le DPO s’agissant d’actions qui n’entrainent pas de conflit d’intérêts avec ses missions.  

Une cinquième partie sera dédiée à un plan d’actions à mettre en œuvre par le sous-traitant sur la période de certification de trois ans, renouvelable. A ce titre, il devra notamment établir un plan d’évaluation de ses propres sous-traitants (sous-traitants ultérieurs) lorsqu’il y a recours. Le sous-traitant doit également mettre en place une veille juridique et technologique.  

Le référentiel détaille la liste des mesures de sécurité comprenant notamment des mesures élémentaires de sécurité, tel que le chiffrement des données, les gestions des habilitations, la mise en place de contrôles des accès physiques, etc .  

• Article 28 du RGPD – Sous-traitant 

• Article 42 du RGPD – Certification 

24 décembre 2024 

La règlementation pose un principe fondamental selon lequel les données à caractère personnel ne peuvent être traitées que pour une durée limitée. En ce sens, le RGPD indique que les données ne doivent être conservées « sous une forme permettant l’identification des personnes concernées » que le temps d’accomplir la finalité du traitement en question.

La durée de conservation comprend deux notions :

• La conservation des données en base active, le temps d’accomplir l’objectif du traitement
• La conservation des données en archive intermédiaire, pour des raisons contentieuses notamment.

Ainsi, la durée de conservation s’entend des deux durées additionnées. Pour rappel, toutes les durées de conservation ne comprennent pas nécessairement d’archivage intermédiaire. En effet, cette notion n’intervient que lorsque le responsable de traitement a des obligations légales à remplir, qui impliquent de conserver les données. De surcroit, en cas d’archivage intermédiaire, il faut effectuer un tri. Seules les données nécessaires au respect de l’obligation légale doivent être conservées. Il ne faut donc pas faire basculer toutes les données de la base en archive.

Il convient donc de déterminer la durée de conservation des données préalablement à la mise en œuvre de tout traitement. Pour ce faire, le responsable de traitement dispose de ressources diverses dont notamment :

• la règlementation : Par exemple, le code de la santé publique exige que les dossiers médicaux soient conservés pendant 20 ans à compter de la dernière visite du patient (il existe des conditions particulières concernant les mineurs).
• les référentiels et doctrines de la CNIL, comme par exemple les méthodologies de référence qui proposent certaines durées de conservation

A défaut de textes ou de référentiel, il reviendra au responsable de traitement de déterminer cette durée eu égard à la finalité du traitement.

Pour ce faire, il s’interrogera sur la durée nécessaire dans le cadre de l’utilisation courante des données, ainsi que les durées de prescription éventuelles qui pourraient justifier une conservation plus longue.

Il est également possible d’anonymiser les données afin de les conserver plus longtemps. En effet, les dispositions du RGPD ne s’appliquent qu’aux données à caractère personnel, c’est-à-dire celles permettant l’identification des personnes concernées. Dès lors que les données ne permettent aucunement d’identifier les personnes concernées, et sont donc anonymes, elles sortent du champ du RGPD. Il est donc permis de les conserver sans limite de temps.

Attention toutefois à la notion d’anonymisation : l’identification des personnes concernées doit être « complètement » impossible, même en combinant les données avec d’autres.

Dans tous les cas, dans une démarche d’accountability, il est plus que recommandé de documenter le raisonnement ayant abouti au choix d’une durée de conservation :  par le biais de procédures internes, de document tel que le registre ou un document référençant les différentes durées de conservation de l’organisme.

A noter : ce n’est pas tout de définir les durées de conservation, il est important de les respecter !

En cas de contrôle, la CNIL vérifie que des durées sont définies, et cohérentes, mais aussi et surtout respectées. Ainsi, a été sanctionnée, dans le cadre de la procédure simplifiée en octobre 2024, une société commercialisant des portefeuilles de cryptomonnaie pour manquement à l’obligation de durée de conservation limitée.

• Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
• Article 25 du RGPD – Protection des données dès la conception et protection des données par défaut
• Article 4 – Loi relative aux fichiers, à l’informatique et aux libertés n°78-17 du 6 janvier 1978

Date de mise à jour : 03.12.2024

La nouvelle organisation de la CNIL est parue au Journal Officiel du 20 novembre 2024 par une décision du 7 novembre 2024.

Organisée auparavant autour de cinq directions, ainsi qu’un service des affaires européennes et internationales, elle s’articule désormais autour de sept directions et un secrétariat général.

Le secrétariat général s’est notamment vu attribuer le service des affaires européennes et internationales, en plus de ses autres missions concernant notamment l’organisation du fonctionnement du collège de la formation restreinte, ou encore l’exécution des délibérations et décisions de la commission.

Concernant les sept directions, restent inchangées les directions suivantes :

• Une direction des relations avec les publics
• Une direction de l’accompagnement juridique
• Une direction des technologies, de l’innovation et de l’intelligence artificielle : cette direction existait déjà, mais ne comprenait pas l’aspect intelligence artificielle. A ce titre, cette direction est notamment chargée d’appréhender le fonctionnement des systèmes d’intelligence artificielle et leurs impacts pour les personnes. Elle réalise donc une veille sur les usages du numérique et les innovations technologiques.
• Une direction administrative et financière

La nouveauté principale réside dans la scission de la direction de la protection des droits et des sanctions en deux directions.  : Ddésormais, deux directions distinctes coexistent, l’une chargée des contrôles et des sanctions, et l’autre en charge de l’exercice des droits et des plaintes. Ces directions sont naturellement appelées à travailler de concert.

Leurs rôles sont toutefois distincts :

• La direction de l’exercice des droits et des plaintes se charge de traiter les réclamations, et plaintes introduites auprès de la CNIL, ainsi que des signalements concernant la protection des données émis par des lanceurs d’alerte. Elle a également la charge de l’exercice indirects des droits lorsqu’il s’applique.

Elle participe également à la mission de la direction des contrôles et des sanctions, en proposant des dossiers à orienter vers une procédure de sanction simplifiée notamment.

• La direction des contrôles et des sanctions, quant à elle, se charge d’élaborer et de mettre en œuvre la politique des contrôles et des sanctions de la commission. Ce programme est réalisé en collaboration avec la direction de l’exercice des droits et des plaintes. La direction des contrôles et des sanctions publie à ce titre son programme de contrôle annuel, validé par le président.

De plus, elle examine les signalements de violations de données, et instruit les mesures correctrices ainsi que les procédures de sanctions. Elle gère également le contentieux de la commission. Elle contribue enfin à la mise en œuvre de la stratégie répressive de la commission, et participe à la doctrine de la commission.

Par ailleurs, une nouvelle direction a vu le jour, et concerne la direction des systèmes d’information.

Cette nouvelle organisation sera progressivement mise en place jusqu’à juillet 2025.          

Version 20 novembre 2024                              

QU’EST-CE QUE LE PHISHING/HAMECONNAGE ?

Le phishing, ou hameçonnage, consiste à voler l’identité, ou les informations confidentielles d’une victime, telles que des codes d’accès, des coordonnées bancaires, par un subterfuge. L’attaquant simule un système d’authentification afin de convaincre l’utilisateur de communiquer ses informations confidentielles en pensant avoir à faire au système légitime. Les victimes sont souvent invitées à visiter le site frauduleux par des courriers électroniques.

Cet hameçonnage peut être ciblé : dans ce cas, il repose sur l’usurpation de l’identité de l’expéditeur et lie l’objet du mail ainsi que le corps du message à l’activité de la victime ciblée.

L’hameçonnage est la première menace pour les particuliers et de la seconde pour les entreprises et associations (selon le rapport d’activité de 2023 de cybermalveillance).

Comment se protéger contre de telles attaques ?

• Ne jamais communiquer d’informations sensibles par messagerie ou téléphone
• Ne pas cliquer sur des liens douteux : il est possible de faire apparaitre l’URL du lien en positionnant la souris sur ce lien sans cliquer pour vérifier la vraisemblance du lien avec le site visé. Le plus sur est encore d’aller directement sur le site de l’organisme sans cliquer sur le lien transmis par sms ou email
• Vérifier l’adresse du site qui s’affiche dans le navigateur : attention parfois un seul caractère change
• Contacter directement l’organisme concerné pour confirmer le message reçu
• Utiliser des mots de passe différents et complexes pour chaque site / application pour éviter qu’un vol de mot de passe ne permette de compromettre plusieurs comptes. Il est également possible d’utiliser des coffres forts numériques permettant de stocker de façon sécurisée les mots de passe
• Vérifier la date et heure de la dernière connexion sur votre compte dès que possible afin de s’assurer de l’absence d’accès illégitime
• Activer la double authentification à chaque fois que cela est proposé

Une bonne pratique consiste à faire des simulations au sein de l’organisme. Le service informatique peut simuler de fausses campagnes de phishing dans le but de sensibiliser l’ensemble des collaborateurs. Cela peut ensuite donner lieu à des campagnes de rappels des bonnes pratiques.

Comment réagir face à ce type d’attaque ?

En cas de suspicion ou d’attaque par hameçonnage, contactez directement l’organisme concerné pour confirmer, ou non, les messages reçus. Il faut également faire opposition en cas de fraude concernant des éléments liés aux moyens de paiement, et changer les mots de passe des sites qui auraient pu être concernés.

Par ailleurs, il existe différents lieux où signaler les sites frauduleux : Signal spam, dont la CNIL est membre, permet de signaler les messages et sites douteux. Il est également possible de signaler par SMS au 33 700 (service gratuit), dispositif de signalement des messages et appels non sollicités mis en place par l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs (af2m). Enfin, il est possible de signaler auprès de Phishing Initiative, service porté par Orange Cyberdéfense.

Pour rappel, les attaques par hameçonnage peuvent impliquer des violations de données à caractère personnel. C’est d’ailleurs ce que la CNIL rappelle dans son bilan concernant les violations de données : plus de la moitié des violations de données trouvaient leur source dans du piratage, avec au deuxième rang l’hameçonnage touchant davantage les organismes du secteur public. Ainsi, dès lors que ce type d’attaque intervient il faut vérifier si elles ont engendré une violation de données personnelles et, le cas échéant, les notifier à l’autorité de contrôle, et aux personnes concernées.

• Définition phishing et phishing ciblé – Cyberdico ANSSI
• Que faire en cas de phishing ou hameçonnage ?– Cybermalveillance
• L’hameçonnage (phishing) : la menace prédominante pour tous les publics – Cybermalveillance
• Violations de données personnelles : bilan de 5 années de RGPD – CNIL

Version 28 octobre 2024

Le ransomware est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Les ransomwares, ou rançongiciels en français, sont des outils auxquels les cybercriminels recourent.

Lors de ce type d’attaque, l’ordinateur ou le système d’information de la victime est mis hors d’état de fonctionnement par l’attaquant. L’attaquant adresse un message non chiffré à la victime où il propose de fournir le moyen de déchiffrer les données, à réception du paiement d’une somme par la victime.

Comment éviter ce type d’attaque ? Le site cybermalveillance.fr rappelle les règles élémentaires de sécurité afin de se protéger contre les rançongiciels. Il s’agit de :

• Appliquer régulièrement et systématiquement les mises à jour de sécurité système et des logiciels installés sur les machines
• Disposer d’un antivirus à jour, et configurer son pare-feu afin de s’assurer qu’il ne laisse passer que des applications et services légitimes
• Ouvrir uniquement des courriels et pièces jointes dont vous êtes certains de la provenance : ne pas cliquer sur les liens douteux, ne pas ouvrir les pièces jointes douteuses provenant d’expéditeurs inconnus, ou connu mais avec une formulation inhabituelle
• Installer uniquement des applications dont l’origine ou la réputation n’est pas douteuse
• Eviter les sites non sûrs
• Faire des sauvegardes régulières afin de pouvoir réinstaller les données le cas échéant
• Utiliser des comptes administrateurs uniquement lorsque cela est justifié : pour des installations de nouveaux programmes par exemple
• Avoir une politique de mot de passe robuste
• Eteindre son ordinateur lorsqu’il n’est pas utilisé

Comment réagir à ce type d’attaque ? Le premier réflexe à avoir est d’isoler la machine d’internet ou du réseau informatique. Pour cela, il faut :

• Désactiver la connexion wifi, ou débrancher le câble Ethernet en cas de connexion filaire
• Prévenir immédiatement le service / prestataire informatique afin de prendre les mesures nécessaires.

Ce type d’attaque entraine souvent des violations de données à caractère personnel, qui sont définies par le RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Ainsi dès lors que des données à caractère personnel ont pu être la cible de ce type d’attaque, il faudra notifier la violation à la CNIL.

• Pour rappel, la notification à la CNIL doit en principe être faite dans les 72H à compter de la connaissance de la violation par le responsable de traitement. Cette connaissance court à compter du moment où une personne au sein du responsable de traitement est informée, quand bien même l’information ne serait pas remontée dans les bons services.
• De plus, si cette attaque a causé un risque élevé pour les personnes concernées par les données attaquées, il faudra également en informer les personnes concernées.
• Depuis 2018, la CNIL observe que plus de la moitié des violations de données qui lui ont été notifiées sont issues du piratage, avec au premier rang les attaques par rançongiciel.

•   Définition rançongiciel – Cyberdico ANSSI
• Rançongiciel ou ransomware, que faire ? – Cybermalveillance
• Violations de données personnelles : bilan de 5 années de RGPD – CNIL
• Définition violation de données – Article 4 RGPD

08 octobre 2024