News – Comment réutiliser des données publiées sur internet?

Les modalités d’ouverture et de réutilisation des données à caractère personnel sur internet ont été précisées par la CNIL dans ses recommandations parues début juin 2024.

Pour rappel, l’open data désigne un mouvement d’ouverture et de mise à disposition des données produites et collectées par les services publics comme les administrations, les établissements publics etc…

Une réutilisation des données ou utilisation secondaire des données, constitue un traitement dit « ultérieur », c’est-à-dire un traitement qui suit l’opération de collecte et qui a une finalité différente de celle justifiant la collecte initiale.

Dans tous les cas, la règlementation relative à la protection des données personnelles s’applique, dès lors que des données personnelles sont traitées :  le fait qu’il s’agisse d’open data (autrement dit de données publiées sur internet) n’a pas d’incidence. C’est ce que rappelle le Code des relations entre le public et l’administration, qui indique que dès qu’un traitement suppose la réutilisation de données personnelles, il faut respecter la Loi informatique et libertés.

Ces recommandations sont des ressources pour tous les acteurs, qu’il s’agisse de ceux qui diffusent les données, ou de ceux qui les réutilisent. Elles ne sont pas contraignantes mais constituent des guides permettant de s’assurer de la conformité du traitement envisagé. Par exemple, la CNIL y explique comment déterminer la base légale du traitement, ou encore comment concilier minimisation et open data.

Chacune de ces recommandations rappelle les principes fondamentaux à suivre dans le cadre de la mise en place de traitements liés à l’open data, des questions pratiques à se poser, et présente des cas d’usage. Dans les prochains mois, la CNIL a indiqué que ces cas d’usage pourraient évoluer et être complétés par d’autres thématiques. En effet, le travail concernant le partage des données se poursuit, et notamment s’agissant des sujets relatifs à la circulation des données à des tiers spécifiquement autorisés (Data Governance Act, Data Act, etc : partage de données d’intérêt général avec les pouvoirs publics par exemple).

  • Délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à l’application du règlement général sur la protection des données aux traitements d’ouverture et de réutilisation de données à caractère personnel publiées sur internet
  • Article L. 322-2 du Code des relations entre le public et l’administration
  • Sous-traitants : la réutilisation de données confiées par un responsable de traitement – CNIL

News – Le principe de finalité

PDF Embedder requires a url attribute

QUE SIGNIFIE LE PRINCIPE DE LIMITATION DES FINALITES ?

Principe fondamental de la protection des données, la limitation des finalités est imposée par l’article 5 du Règlement général sur la protection des données (« RGPD »). Il s’agit de ne collecter des données que pour « des finalités déterminées, explicites et légitimes ».

Par ailleurs, l’utilisation ultérieure des données est permise dès lors que la nouvelle finalité est compatible avec la finalité initiale. Le RGPD prévoit la réalisation d’un test de compatibilité aux fins de déterminer la possibilité de réutiliser les données ainsi collectées.

A ce titre, le responsable de traitement devra donc se poser les questions suivantes avant de réutiliser des données pour une autre finalité :

  • Existe-t-il un lien entre la finalité initiale pour laquelle ont été collectées les données et la finalité ultérieure dans le cadre de laquelle elles vont être réutilisées ?
  • Dans quel contexte ont-été collectées les données initialement ? La relation entre le responsable de traitement et les personnes concernées dans le cadre de la collecte initiale a-t-elle changé dans le cadre de la réutilisation des données ?
  • Quelle est la nature des données traitées ? Des données sensibles sont-elles concernées ?
  • Quelles sont les conséquences possibles du traitement amené par la réutilisation des données sur les personnes concernées ?
  • Quelles sont les garanties appropriées mises en place dans le cadre de la réutilisation des données, par exemple le chiffrement ou la pseudonymisation ?

A noter toutefois qu’une finalité incompatible ne signifie pas interdiction de réutilisation : le responsable de traitement souhaitant réutiliser les données dans ce cadre devra alors réinformer les personnes concernées et, le cas échéant, obtenir leur accord. Voir en ce sens la décision de la CNIL du 11 octobre 2018 mettant en demeure cinq sociétés d’assurance pour détournement de finalités : elles utilisaient les données de paiement des allocations retraite pour faire de la prospection commerciale.

Par ailleurs, la règlementation présume la réutilisation des données à des fins archivistiques dans l’intérêt public, de recherche scientifique ou à des fins statistiques comme un traitement compatible. En ce sens les données collectées dans le cadre du soin pourraient alors être réutilisées à des fins de recherche pour améliorer la prise en charge de la pathologie sans que l’on puisse considérer ce traitement incompatible.

Rappelons enfin que ce principe de finalité va de pair avec le principe de transparence : en dehors de l’exigence de compatibilité des finalités, elles doivent être déterminées et explicites. A cet effet, les personnes concernées doivent en être informées spécifiquement. Les personnes concernées doivent être en mesure de comprendre les utilisations secondaires de leurs données.

  • Article 6 RGPD
  • Décision n°2018-333 du 11 octobre 2018

Qu’est ce qu’une donnée identifiante?

PDF Embedder requires a url attribute

La notion de données à caractère personnel est définie par la Règlementation comme « toute information se rapportant à une personne physique identifiée ou identifiable » (personne concernée).

Identifiée ou identifiable : qu’entend-on par-là ?

  • Directement : nom, prénom…
  • Indirectement : identifiant, numéro client, plaque d’immatriculation, numéro de téléphone,
  • A partir d’une seule donnée : ADN, photo  
  • A partir d’un croisement d’un ensemble de données : la personne opérée tel jour de telle pathologie dans tel établissement

La notion de donnée à caractère personnel s’entend très largement : la seule possibilité d’établir un lien avec une personne physique suffit. Pour déterminer si cette possibilité existe, l’ensemble des moyens raisonnablement susceptibles d’être employés par le responsable de traitement doit être pris en considération. Le RGPD précise que doit être pris en compte « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

La jurisprudence de la Cour de justice de l’Union Européenne (CJUE) a permis d’établir que le lien s’entend largement. La CJUE avait statué dans son affaire Breyer que la notion d’indirectement identifiant ne nécessitait pas que les informations permettant ladite identification soient dans les mains de la même personne.

Elle s’est également prononcée sur le caractère « de moyens raisonnablement susceptibles d’être utilisés » des informations à utiliser pour identifier une personne : l’arrêt Breyer avait notamment permis de considérer qu’une identification interdite par la loi, ou irréalisable en pratique n’est pas un moyen raisonnablement susceptible d’être utilisé. En effet, le juge européen avait conclu en l’espèce qu’une adresse IP dynamique était une donnée à caractère personnel pour le fournisseur d’accès à internet dès lors que ce dernier disposait de moyens légaux lui permettant d’identifier la personne concernée en combinant cette donnée aux autres données dont il dispose sur la personne concernée.

Le 7 mars 2024, la CJUE s’est à nouveau prononcée sur le sujet du caractère indirectement identifiant concernant un communiqué de presse relatif à une fraude dans le cadre du financement d’un projet de recherche. Dès lors que le communiqué de presse mentionnait des informations concernant la personne : son genre, sa nationalité, le montant de la subvention, la localisation de l’entité l’octroyant, il est possible d’identifier indirectement la personne concernée. Dans cet arrêt, la CJUE a également pris en compte l’intérêt que pouvait susciter le communiqué de presse auprès du public, et donc le fait que le public risquait de faire des recherches afin d’identifier la personne en question pour déterminer si cette dernière était ou non identifiable.

  • Article 4 du RGPD – Définitions
  • CJUE, 19 Octobre 2016, Affaire Breyer, C‑582/14
  • CJUE, 7 mars 2024, P – C‑479/22

Violation de données

LES VIOLATIONS DE DONNEES – BILAN ET RECOMMANDATIONS

Définies comme « une violation de la sécurité, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données », les violations de données sont encadrées par le RGPD.

A ce titre, dès lors qu’elles sont susceptibles d’entrainer un risque pour les personnes concernées, elles doivent être notifiées à la CNIL, si possible, dans un délai de 72 heures à compter de leur connaissance par l’organisme. Une communication aux personnes concernées est également obligatoire si la violation entraine un risque élevé pour les personnes concernées.

  • Sur ce point, le Comité européen de la protection des données (CEPD) renvoie à ses lignes directrices sur l’analyse d’impact pour qualifier le risque important. Pour rappel, l’évaluation du  risque important est à l’égard des personnes concernées et non pour le responsable de traitement.

La CNIL dresse un bilan des notifications de violations de données intervenues depuis l’entrée en application du RGPD, il y a cinq ans. Elle y constate un nombre croissant de notifications, mais ne sait pas distinguer ce qui est dû à la prise en compte grandissante de la règlementation et de l’obligation de notifier de tels incidents de sécurité, de ce qui proviendrait de menaces grandissantes sur les données personnelles.

La CNIL fait le constat que plus de la moitié des violations de données proviennent d’actes malveillants, de piratage informatique, principalement par rançongiciels ou hameçonnage.

  • Aussi, il semble recommandé que les responsables de traitement s’assurent que leurs collaborateurs soient formés à la sécurité, et aux principes élémentaires de protection des données personnelles, leur permettant d’adopter les bons réflexes en cas d’incident.
  • Ce bilan fait écho à l’actualisation par la CNIL de son guide de sécurité sur les données personnelles, publié le 26 mars 2024. Cette actualisation a été enrichie notamment d’une nouvelle fiche sur le pilotage de la sécurité des données. La CNIL a également décidé de scinder son ancienne fiche 4 sur « Tracer les opérations et gérer les incidents » en deux fiches distinctes relatives à la traçabilité des opérations, et une autre concernant la gestion des incidents et les violations.

La CNIL revient également sur les délais liés aux violations de données. Si le délai posé par la règlementation est de 72 heures après la connaissance par l’organisme de cette dernière, en pratique la CNIL constate que pour 75% des violations, les notifications interviennent dans les 11 jours de la qualification de l’incident.

  • La bonne pratique à adopter, comme le rappelle la CNIL dans ce bilan, est d’établir une première notification même partielle dans le délai imparti, qui sera complétée par la suite.
  • Article 32 et 33 du Règlement Général sur la Protection des Données
  • Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, CEPD
  • Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, CEPD
  • Violations de données personnelles : bilan de 5 années de RGPD, CNIL
  • Guide de sécurité des données personnelles – Version 2024

Version du 22 mai 2024

Mise à jour du référentiel HDS – Ce qui change – Mai 2024

Le référentiel de certification pour l’hébergement de données de santé à caractère personnel (HDS) défini par arrêté du 11 juin 2018 prévoit les exigences de sécurité notamment applicables aux prestations d’hébergement de données. Est paru au journal officiel du 16 mai 2024 la nouvelle version du référentiel, par arrêté du 26 avril 2024.  

Pour rappel, cette certification est obligatoire pour « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. » (Article L.1111-8 du Code de la santé publique)

Cette nouvelle version du référentiel précise notamment les activités d’hébergement, propose une matrice de correspondance SecNumCloud, clarifie les rôles des acteurs dans l’hébergement… et surtout : l’exigence d’héberger les données au sein de l’Espace Economique Européen (EEE). Cette exigence de territorialité n’existait pas précédemment ; jusqu’à présent, seul le référentiel SNDS imposait cette exigence (exigence 3.2 du référentiel SNDS). Désormais, le référentiel HDS prévoit que seuls des accès à distance pourront être réalisés depuis des pays en dehors de l’EEE, à condition de prévoir les garanties appropriées (décision d’adéquation, ou à défaut clauses contractuelles types, BCR, arrangement administratif, etc).

Par ailleurs, outre la souveraineté des données, cette nouvelle version renforce les exigences de transparence de l’hébergeur sur ce sujet. En effet, désormais l’hébergeur a la charge de lister à son client, tant les législations extra-européennes qui pourraient exiger un accès non autorisé par le droit de l’Union aux données hébergées, que les mesures mises en œuvre pour pallier ce risque, et les risques résiduels. En sus, une information publique sur ce sujet devra figurer sur le site internet de l’hébergeur, et sera reprise par l’ANSSI dans la liste des hébergeurs certifiés.  

Cette nouvelle version renforce également les exigences contractuelles à la charge de l’hébergeur, notamment des exigences relatives à la protection des données. Il est ainsi conseillé de se référer aux clauses contractuelles types de la commission européenne s’agissant de la sous-traitance, et aux recommandations du Comité européen de la protection des données concernant les mesures de sécurité.

  • Arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au Système national des données de santé
  • Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)
  • Recommandations 01/2020 du Comité européen de la protection des données sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE

Données de santé et données de performance sportive : comment les articuler?

PDF Embedder requires a url attribute

Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.

Trois catégories de données entrent dans cette définition : les données de santé par nature, les données de santé par destination (devenues des données de santé du fait de leur utilisation sur le plan médical), et également les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en permettant de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne.

Dans ce cadre, le domaine de la performance sportive fait appel à des données de santé. Aux fins de mesures de la performance sportive individuelle des sportifs, il est nécessaire de recueillir des données de santé : telles que la fréquence cardiaque, le poids, la taille, les habitudes alimentaires.

A cet égard, les données ainsi traitées entrent dans le cadre de l’interdiction de traitement édictée par l’article 9 du RGPD, et leur traitement doit donc reposer sur l’une des dérogations prévues par la Règlementation.

La plupart du temps, ces traitements reposent sur le consentement des sportifs. Attention la validité du consentement pourrait être remise en question sur le critère libre de ce dernier.

  • En effet la CNIL rappelle sur ce point que le consentement pourrait ne pas pouvoir être mobilisé s’agissant des sportifs de haut niveau, étant donné que ce consentement conditionnera probablement sa participation à la sélection opérée par son entraineur. En effet, le consentement ne serait alors pas libre, car si le sportif décidait de ne pas consentir, cela pourrait avoir des conséquences néfastes sur lui.

Il ne faut toutefois pas confondre :  si des données de santé sont collectées dans ce cadre, cela ne fait pas pour autant nécessairement entrer le traitement dans les traitements de données dans le domaine de la santé au sens de la règlementation, notamment dans la section III du chapitre 3 du titre II de la LIL . Ils ne sont mis en œuvre ni à des fins de prise en charge, ni à des fins de recherche. Dans ce cas, pas de formalité préalable auprès de la CNIL.

Une attention particulière à la finalité du traitement doit être portée : s’il a pour objectif de recenser les blessures liées à la pratique d’un sport déterminé, la CNIL rappelle qu’il est possible de le qualifier de traitement dans le domaine de la santé, et à ce titre qu’il devienne soumis aux dispositions applicables.

  • Article 4 du RGPD – Définitions
  • Article 9 du RGPD – Interdiction de traitement
  • Titre II, chapitre 3, Section 3 Traitements dans le domaine de la santé LIL

CNIL – Rapport d’activités 2023

240423-Rapport-dactivites-CNIL-1

La CNIL présente son bilan 2023 : accompagnement renforcé des entreprises à fort potentiel économique ou d’innovation, essor de la procédure simplifiée, sensibilisation du grand public.. Retrouvez les grands chantiers menés par la CNIL en 2023.
Pour en savoir plus, rendez-vous sur le rapport annuel de 2023.

DPO – Etat des lieux sur leur positionnement

240402-DPO-Bilan-EDPB

Dans le cadre de son action coordonnée débutée en 2020, le Comité Européen de la Protection des Données a établi le bilan de l’enquête concernant le rôle et le positionnement des DPO. Deux des constats émis dans ce cadre sont d’une part leur mauvais positionnement hiérarchique ne leur permettant pas un reporting efficace, et d’autre part un manque de ressources les empêchant d’effectuer à bien leur mission.