250228-Tableau-des-actus-Fevrier-2025

Autorité de contrôle de la protection des données en France, la Commission Nationale de l’Informatique et des Libertés (ou CNIL) est dotée d’un pouvoir de sanctions, sur le fondement des articles 20 à 23 de la loi relative à l’informatique, aux fichiers et aux libertés (dite loi informatique et libertés). Le décret du 8 avril 2022 (décret n°2022-517, modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi informatique et libertés), a créé une nouvelle forme de procédure de sanctions au sein de la CNIL.

Aussi, désormais, la CNIL peut sanctionner sous l’angle de la procédure dite ordinaire, ou de la procédure simplifiée.

Toutes les affaires ne peuvent pas être traitées en procédure simplifiée. Cette procédure de sanction ne peut être engagée, par le président de la CNIL, que lorsque l’affaire en question ne présente pas de difficulté particulière, eu égard :

• A l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la CNIL
• Ou parce que les questions de droit ou de fait à trancher sont simples.

Le président de la formation restreinte ou l’un de ses membres désigné à cet effet statue alors seul sur l’affaire.

Cette procédure expose les organismes en cause uniquement aux sanctions suivantes : rappels à l’ordre, des injonctions de mises en conformité, et des amendes jusqu’à 20 000 euros. Les astreintes ne peuvent dépasser un montant de 100 euros par jour de retard. Les sanctions ne sont par ailleurs pas rendues publiques.

Toutefois, il est important de préciser qu’il est possible pour le président de la formation restreinte (organe de sanction de la CNIL) de refuser de recourir à cette procédure simplifiée, ou bien de l’interrompre à tout moment. L’affaire en cause passe alors en procédure ordinaire. Les restrictions concernant les sanctions ne s’appliquent alors plus, notamment sur les montants des amendes et la publicité de la sanction.

En 2024, la CNIL a rendu 87 sanctions, dont plus de la moitié l’ont été en procédure simplifiée : 18 sanctions ont suivi la procédure ordinaire, contre 69 en procédure simplifiée. C’est presque trois fois plus qu’en 2023, où 18 sanctions avaient été rendues en procédure ordinaire, contre 24 en procédure simplifiée.

Les principaux manquements que la CNIL a sanctionnés en procédure simplifiée en 2024 sont le défaut de coopération, le non-respect de l’exercice des droits, le manquement à la minimisation des données ; et enfin le défaut de sécurité des données personnelles.

18 février 2025

Connaitre la civilité des clients est-elle une donnée obligatoire ?  

Dans un arrêt du 9 janvier 2025, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la collecte obligatoire des données de civilité dans le cadre de l’achat de titre de transport en ligne.

Ces informations étaient notamment collectées par une entreprise de transport ferroviaire afin d’envoyer une communication commerciale personnalisée à ses clients. Les données collectées se limitaient à « Madame », « Monsieur ».

A cette occasion, la CJUE a considéré que cette collecte n’est pas objectivement indispensable que le traitement de données en question se fonde sur l’intérêt légitime de l’entreprise, ou sur l’exécution du contrat entre l’entreprise et les acheteurs de titres de transport. En effet, aux termes de la CJUE, la personnalisation de la communication fondée sur l’identité de genre présumée, en fonction de la civilité des personnes, n’est pas indispensable à l’exécution correcte du contrat, c’est-à-dire à la fourniture d’un titre de transport.

S’agissant de la collecte de ces données sur le fondement de l’intérêt légitime, la CJUE considère qu’elle n’est pas nécessaire à plusieurs égards. L’intérêt légitime pourrait être réalisé sans ces données, c’est-à-dire en ne communiquant qu’avec des formules de politesse générique. Les libertés et droits fondamentaux des clients prévalent sur l’intérêt légitime de l’entreprise, vu le risque de discrimination fondé sur l’identité de genre.

Cette analyse se fonde en effet sur les trois critères de l’intérêt comme légitime : le fait que les personnes concernées aient été informées de la collecte des données, le fait que la collecte, et plus généralement le traitement, soit strictement nécessaire au traitement, et la mise en balance entre l’intérêt de l’organisme en cause, et les droits et libertés des personnes concernées.

En l’espèce, la collecte des données de civilité était rendue obligatoire par l’entreprise de transport ferroviaire. Aussi, une bonne pratique dans le cadre de la prospection commerciale est de ne collecter les données de civilité que de façon facultative.

• CJUE, 9 janvier 2025, C-394/23, Mousse c. CNIL

30/01/2025

Mousse-1

La règlementation permet aux autorités de contrôle de mettre en œuvre des mécanismes de certification pour démontrer que les opérations de traitements effectuées sont conformes au RGPD. Dans ce contexte, la CNIL a ouvert une consultation publique jusqu’au 28 février 2025 concernant un projet de référentiel de certification des sous-traitants. Le responsable de traitement doit sélectionner un sous-traitant de confiance présentant les garanties suffisantes lui permettant de répondre aux exigences du RGPD.  

Cette certification a pour objectif de mieux orienter les responsables de traitement dans le choix de leurs sous-traitants .Elle permet d’assurer un niveau de garanties, certifiés par des organismes tiers, conformément à un référentiel reconnu par la CNIL, en tant qu’autorité de contrôle en France.  

Comme tout mécanisme de certification, ce processus est volontaire. Il sera ouvert à tout organisme, établi sur le territoire de l’Union européenne, ou d’un Etat membre de l’Espace Economique Européen, agissant en tant que sous-traitant pour un responsable de traitement, et ne se limite pas à un secteur en particulier. Aussi, les sous-traitants auront la possibilité de ne certifier qu’une partie de leurs activités et de leurs services.  

Ce projet de certification comprend 90 points de contrôles, organisés autour de quatre parties : la contractualisation, la préparation de l’environnement de traitement, et notamment les mesures de sécurité, la mise en œuvre du traitement, et la fin du traitement. L’un des critères de certification sera notamment que le sous-traitant doit avoir désigner un délégué à la protection des données auprès d’une autorité de protection des données (qui peut être la CNIL, ou non), ainsi qu’un référent certification qui pourra être le DPO s’agissant d’actions qui n’entrainent pas de conflit d’intérêts avec ses missions.  

Une cinquième partie sera dédiée à un plan d’actions à mettre en œuvre par le sous-traitant sur la période de certification de trois ans, renouvelable. A ce titre, il devra notamment établir un plan d’évaluation de ses propres sous-traitants (sous-traitants ultérieurs) lorsqu’il y a recours. Le sous-traitant doit également mettre en place une veille juridique et technologique.  

Le référentiel détaille la liste des mesures de sécurité comprenant notamment des mesures élémentaires de sécurité, tel que le chiffrement des données, les gestions des habilitations, la mise en place de contrôles des accès physiques, etc .  

• Article 28 du RGPD – Sous-traitant 

• Article 42 du RGPD – Certification 

24 décembre 2024