3. Du côté de la CNIL
Source CNIL :Notifications
collectées entre mai et
octobre 2018
4. Du côté de la CNIL
6.000
plaintes
reçues
15.000 DPO
désignés
(contre 5.000
CIL)
Plaintes
collectives
déposées par
3 organismes
Plus de 1.200
violations de
données
enregistrées
+ 64 % de
plaintes de
particuliers
Source CNIL
En octobre, 33
millions de
personnes
concernées par les
742 notifications
5. Du côté des entreprises
Un exemple: l’exercice du droit d’accès des personnes physiques
Source www.freebip.com
Etude Misakey Oct./Nov.2018
sur 439164 sites
83%
1%
16%
pas en mesure de répondre En mesure de répondre ont un mail non fonctionnel
6. Du côté des entreprises
10.051 des
entreprises
contactées ont un
courriel dédié
22,5% sont
joignables
77,5% ne
sont pas
joignables
5,5%
refusent de
répondre
17%
répondent
positivement
8. • Limitation du traitement
• Minimisation
• Licéité, loyauté et transparence
• Exactitude
• Limitation de la conservation
• Sécurité
• Droit des personnes: information, consentement, droit d’accès, de
rectification, d’opposition, de limitation, d’effacement, de portabilité
• Accountability
10. Responsable de
traitement
• Pouvoir décisionnel sur la détermination
• De la finalité
• Et des moyens (essentiels)
Responsable
conjoint de
traitement
• Ils déterminent ensemble tout ou partie des finalités
• Et/ou tout ou partie des moyens
Sous-traitant
• Opérations réalisées pour le compte du RT
• Absence d’autonomie
• A l’exception des moyens non essentiels
11. A. Nouvelles obligations et augmentation
de la responsabilité du sous-traitant
Sous-
traitant
Tenue d’un registre
Sanction possible du ST
par la CNIL
Mise en cause de la
responsabilité du ST par la
personne concernée
Obligation d’information du
RT en cas de violation de
données
Obligation d’information si
une instruction du RT est une
violation du RGPD
Preuve au RT que les conditions
de mise en œuvre du traitement
sont conformes au RGPD
Assistance du RT en cas de
PIA
12. Nécessité d’un écrit
Nature du traitement
Durée
Finalité(s)
Le type de données
Les catégories de personnes
Autorisation générale ou spécifique de
faire appel à un autre ST
Le ST initial est responsable du ST
ultérieur
Le ST ultérieur doit respecter les
obligations du contrat entre le RT et le
ST
Droit d’information des personnes
concernées par le RT ou le ST
Notification des violations de
données par le RT ou le ST
Réponse aux demandes d’exercice
de leurs droits par le RT ou le ST
Le sort des données au terme du
contrat (suppression et/ou
réversibilité)
Certification possible du ST
13. B. Le sous-traitant peut devenir
responsable conjoint de traitement
Si le ST outrepasse son mandat
Et acquiert un rôle important dans la détermination des finalités ou des
moyens essentiels du traitement,
La requalification peut être judiciaire ou par contrat
o Liberté de paramétrer la cible de l’audience?
o Liberté de paramétrer les catégories de données personnelles?
Conséquences:
o Responsable solidaire avec le RT « déclaré » vis-à-vis des personnes concernées. La personne
concernée a le choix de s’adresser et/ou d’agir à l’encontre du RT de son choix
o La personne concernée peut demander à l’un ou l’autre des RT la réparation de son dommage dans
sa totalité
o Contractuellement, prévoir les obligations respectives, le contact pour l’exercice des droits des
personnes concernées, procédure etc.
14. C. Relations entre sous-traitants
Le Sous-traitant « premier » est responsable des outils qu’il choisit et donc
par voie de conséquence de sous-traitants éditant ces outils.
- Les outils qu’il choisit doivent être en conformité avec le RGPD
- Cela signifie qu’il faut que les outils prennent en compte le Privacy by
design et le Privacy by default
- Il doit s’assurer que l’outil répond aux conditions et instructions du RT
- Il faut préciser dans les contrats les exigences concrètes et précises de la
forme dans laquelle le consentement de l’utilisateur, le cas échéant, doit
être accueilli.
15. Exemples
EX.: Google analytics
1. La durée de conservation
Google Analytics donne la
possibilité de choisir entre
différentes durées de
conservation des cookies:
- 14 mois
- 26 mois
- 38 mois
- 50 mois
- Aucune expiration
automatique
Or, la durée de conservation d’un
cookie permettant la traçabilité
de la personne ou d’une adresse
IP est de 13 mois.
Un visiteur inactif durant 3 ans
doit être supprimé ou inscrit dans
une liste d’opposition.
Force est de constater que
Google Analytics ne vous permet
pas de respecter le RGPD.
16. Exemples
EX.: Google analytics
Privacy by design et Privacy by
default (considérant 78 et art.25.2
du RGPD)
Protection des données dès
la conception et
notamment:
- Réduire au minimum le
traitement des données
- Permettre la
pseudonymisation voire
l’anonymisation
- Assurer la transparence
concernant les fonctions
et le traitement
Le choix de la durée de
conservation n’est pas conforme
au RGPD.
17. Exemples
EX.: Google analytics
2. Anonymisation de l’adresse IP,
vous en êtes certain?
Google Analytics a mis en
place un process
d’anonymisation de
l’adresse IP en vous
permettant de supprimer le
dernier octet.
Rappel du principe de
l’anonymisation au regard du
RGPD
Considérant 26: « il n’y a dès lors pas lieu
d’appliquer les principes relatifs à la
protection des données aux informations
anonymes, à savoir les informations ne
concernant pas une personne physique
identifiée ou identifiable,(…) de telle
manière que la personne concernée ne soit
pas ou plus identifiable »
« Pour déterminer si une personne
physique est identifiable, il convient de
prendre en considération l’ensemble des
moyens raisonnablement susceptibles
d’être utilisés par le responsable de
traitement ou par toute autre personne
pour identifier la personne physique
directement ou indirectement, tels que le
ciblage »
18. Exemples
EX.: Google analytics
Le G29 et la CNIL dans sa
recommandation de
décembre 2013 prévoient
que pour être dispensé du
recueil du consentement,
les 2 derniers octets de
l’adresse IP doivent être
supprimés.
Or, en indiquant que l’adresse IP
serait anonymisée du fait de la
suppression du dernier octet, cela
induit en erreur les « partenaires »
de Google Analytics.
Cela ne répond pas aux
recommandations de la CNIL
d’une part, et cela ne répond pas
à la définition du RGPD de
l’anonymisation, d’autre part.
En effet, comme le répète la
CNIL, l’anonymisation est
quasiment impossible au regard
de toutes les données qui
peuvent être croisées.
19. Exemples
EX.: Google analytics
Conséquences:
Le RGPD s’applique !
Il faut donc notamment
délivrer une information claire
et transparente à l’utilisateur et
obtenir le consentement de la
personne concernée.
En tout état de cause, si
l’anonymisation est faite après
la collecte, l’information est
obligatoire.
En effet, pour être dispensé de l’obtention
du consentement (mais pas de
l’information), il faut:
- Délivrer une information claire et
complète
- Un mécanisme d’opposition accessible
simplement, utilisable sur tous les
navigateurs et terminaux
- Les données ne doivent pas être
recoupées avec d’autres traitements
- Le cookie déposé doit servir
uniquement à la production de
statistiques anonymes
- Le cookie ne doit pas permettre de
suivre la navigation de l’internaute sur
d’autres sites
- L’adresse IP ne doit pas permettre de
localiser plus que la ville (suppression
des 2 derniers octets)
- Les cookies permettant la traçabilité des
internautes et les adresses IP ne doivent
pas être conservées plus de 13 mois
- Les données de fréquentation brutes
associant un identifiant ne doivent pas
non plus être conservées plus de 13 mois
20. D. Rappel des règles en matières de
cookies
Les cookies strictement techniques ne nécessitent pas le consentement de
l’utilisateur mais ce dernier doit bénéficier d’une information claire et
transparente.
Les cookies non techniques c’est-à-dire notamment publicitaires qu’il
soient déposés par l’éditeur du site ou un tiers doivent être acceptés par
l’utilisateur avant le dépôt des cookies.
Attention: les obligations s’appliquent que les cookies collectent des données personnelles ou
non (protection du terminal)
21. Le client est RT pour les cookies déposés par
des tiers
CE 6 juin 2018, 10ème et 9ème chambres réunies, n°412589
Point 11: « Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de
traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de « cookies » mis en
place pour son compte. Les autres tiers qui déposent des « cookies » à l’occasion de la visite du site d’un éditeur
doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et
l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés
comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent
au tiers qui a émis le cookie notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa
durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle
de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne
respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour
mettre fin à des manquements »
Attention aux instructions du client.
22. Base légale de dépôt de cookie publicitaire
CE 6 juin 2018, 10ème et 9ème chambres réunies, n°412589
Point 7: « Le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique
d’un site ne saurait conduire à les regarder comme strictement nécessaire à la fourniture du service de
communication en ligne »
Solution attendue!
Délibération n° MED 2018-342 du 30 oct. 2018
Rappel de la loi : le traitement de données issues des cookies à des fins publicitaires ne peut être licite que si l’utilisateur a
donné son consentement ou l’une des conditions suivantes est remplie:
o Respect d’une obligation légale
o Sauvegarde de la vie de la personne concernée
o Contrat
o Mission de service public
o Réalisation d’un intérêt légitime
23. Base légale de dépôt de cookie publicitaire: le
consentement
« Afin d’améliorer notre application et vous adresser du contenu et/ou des offres commerciales
personnalisées, nos partenaires et nous-mêmes collectons vos données personnelles comme vos données
de navigation ou votre position géographique. Cela nous permet également de vous offrir un accès gratuit
à notre service et nous nous engageons à diffuser des publicités dont les formats sont non intrusifs.
En acceptant, vous consentez à ce que nos partenaires et nous-mêmes puissions collecter et traiter vos
données personnelles à des fins d’analyse et de publicité.
Vous pouvez changer vos paramètres de confidentialité à tout moment depuis les réglages de
l’application ».
L’utilisateur se voyait ensuite proposer un choix entre j’accepte, je refuse et j’affine mes préférences.
Décision de la CNIL
• Le consentement n’est pas informé
• Le consentement n’est pas spécifique
• Le consentement n’est pas exprimé par une action positive
24. Délibération 8 oct. 2018 n°2018-043
Collecte de données de géolocalisation à l’aide d’un SDK qui sont ensuite
croisées avec les points d’intérêts.
Décision de la CNIL
• Pas de base légale: aucun mécanisme mis en place lors du téléchargement de l’application
pour consentir au traitement
• Aucune information sur la collecte des données de géolocalisation aux fins de profilage et de
ciblage publicitaire
• Clause dans les contrats entre le RT et ses partenaires imprécises
• Le fait d’imposer que son nom soit indiqué dans la liste des partenaires est insuffisante
(manquent la base légale, la finalité du traitement et les droits de la personne)
• Informations sur plusieurs finalités qui n’ont rien à voir entre elles mais seule possibilité pour
l’utilisateur de tout accepter en « bloc ».
• « J’accepte ou plus tard »: « Aucune de ces options ne lui propose clairement de refuser la
collecte et le traitement de ses données (…) »
26. A. Champs d’application matériel et territorial
E-Privacy s’applique aux données de communication c’est-à-dire le contenu
et les métadonnées.
Contenu: contenu échangé au moyen de services de communications électroniques
notamment sous forme de texte, de voix, de documents vidéos, d’images et de sons.
Métadonnées: données traitées pour la transmission, la distribution ou l’échange de contenu y
compris les données permettant de retracer une communication et d’en déterminer l’origine et
la distribution ainsi que les données relatives à la localisation de l’appareil produit dans le cadre
de la fourniture de services de communications électroniques et la date, heure, durée et le type
de communication.
27. A. Champs d’application matériel et territorial
E-Privacy s’applique à :
- La fourniture et l’utilisation de services de communications électroniques dans l’UE ( Art. 2.1)
- Aux informations liées aux équipements terminaux des utilisateurs finaux (Art. 2.1)
L’e-Privacy étend le champ d’application de la confidentialité des données à l’ensemble des
prestataires de service en ligne,
Concernent:
• Les FAI (c’était déjà le cas avant)
• Les services OTT (Over the top) comme skype®, Facebook Messenger®, WhatsApp®
• Les bornes wifi
• Internet of things
28. A. Champs d’application matériel et territorial
Nouveautés:
L’utilisateur final est toute personne physique ou morale utilisant ou demandant un service de
communication électronique au public.
Considérant 18: « Aux fins du présent règlement, le consentement de l’utilisateur final, que
celui-ci soit une personne physique ou morale , devrait avoir le même sens et être soumis aux
mêmes conditions que le consentement de la personne concernée en vertu du » RGPD.
Le consentement d’une personne morale doit donc être libre,
éclairé, univoque.
Proposition de la commission de centraliser le consentement des utilisateurs au moyen de
paramètres de confidentialité de leur navigateur internet.
29. A. Champs d’application matériel et territorial
Application du RGPD:
Entreprise ou établissement situé dans l’UE
Si les utilisateurs finaux sont situés dans l’UE même si entreprise est située hors de l’UE
Données de communications électroniques traitées en relation avec fourniture et utilisation
de services de communications électroniques dans l’UE, même si traitement est effectué
hors UE
Objectif: Assurer la protection la plus efficace pour les utilisateurs européens
Conforme avec le champs d’application territorial du RGPD
30. RESUME
Toutes les informations relatives à l’utilisation du terminal font partie de la
sphère privée protection renforcée par l’e-Privacy
Tout ce qui n’est pas expressément autorisé par le Règlement est
nécessairement interdit.
31. B. Traitement autorisé des données de
communications électroniques
Traitement des données de communications électroniques par les
fournisseurs de réseaux et de services de communications électroniques si
nécessaire pour:
o Assurer la communication pendant la durée nécessaire
o Maintenir ou rétablir la sécurité des réseaux
Traitement des métadonnées par fournisseurs de services de
communications électroniques si:
o Nécessaire pour assurer la qualité de service
o Nécessaire pour facturer
o Si consentement de l’utilisateur final pour un ou plusieurs objectifs précis, dont la fourniture de
services spécifiques à son endroit à condition que le traitement d’informations anonymisées ne
permette pas d’atteindre lesdits objectifs.
32. Traitement autorisé des données de
communications électroniques
Traitement du contenu des communications électroniques par les
fournisseurs de services de communications électroniques si :
o Pour fournir un service spécifique à un utilisateur final avec son consentement et si fourniture de ce
service ne peut être assurée sans traiter ce contenu
o Si consentement de tous les utilisateurs finaux pour un ou plusieurs objectifs spécifiques que le
traitement d’informations anonymisées ne permet pas d’atteindre et si le fournisseur a consulté
l’autorité de contrôle.
33. C. Collecte d’informations du terminal (art. 8)
Interdiction collecte d’informations provenant du terminal (cookies) sauf
par l’utilisateur et pour l’un des 4 motifs suivants:
o Nécessaire pour assurer une communication électronique dans un réseau de communication électronique
o Si l’utilisateur a donné son consentement
o Nécessaire pour fournir un service de la société demandé par l’utilisateur final
o Nécessaire pour mesurer des résultats d’audience du web, à condition que ce mesurage soit effectué par le fournisseur de service de la
société de l’information demandé par l’utilisateur final
Interdiction de la collecte d’informations émises par le terminal pour
permettre sa connexion à un autre dispositif ou à un équipement de réseau
sauf si:
o But d’établir une connexion et pendant la durée nécessaire
o Message clair et bien visible affiché avec modalités, finalité de la collecte, identité de la personne
responsable… sous couvert d’en assurer la sécurité
34. D. PROSPECTION DIRECTE (art.16)
Prospection
directe par
p.p. ou p. mo
Avec
consentement
et information
sur la nature
commerciale
Personne
physique
Consentement
conforme à
l’art.4.11 et l’art.
7 du RGPD
Manifestation de
volonté, libre,
spécifique, éclairée
et univoque
Forme
compréhensible,
aisément accessible
Pas de case pré-
cochée
Pas de consentement
en cas de silence,
d’inactivité
Droit de retrait à tout
moment et sans frais avec
un rappel tous les 6 mois
(art.9.3 e-Privacy)
35. Obtention coordonnées électroniques lors
d’une vente
Possible prospection directe pour:
o Des produits ou services analogues
o Fournis par la p.p. ou p. mo. uniquement
o Si le client peut s’opposer sans frais et simplement à une telle exploitation de ses coordonnées
o Le droit d’opposition est donné au moment de la collecte des coordonnées électroniques et dans
chaque message
Ces conditions sont cumulatives.
Balance entre les intérêts légitimes des p. mo. (utilisateurs finaux) et les communications
non sollicitées
36. RESUME
Consentement explicite et préalable pour le dépôt de cookies de tracking à des fins
publicitaires
Consentement explicite lors de l’installation de l’application pour suivre son activité en ligne
à des fins publicitaires
37. SANCTIONS
Cela dépend des violations:
Manquement à l’art. 8 (protection informations stockées dans le terminal)
ou l’art. 16 (prospection directe) 10.000.000 euros ou 2% du CA
annuel de l’exercice précédent au niveau mondial (pour les entreprises)
Violations de l’obligation de confidentialité des communications, du
traitement autorisé de communications électroniques et des délais
d’effacement (art.5, 6 et 7) 20.000.000 euros ou 4% du CA annuel
de l’exercice précédent au niveau mondial (pour les entreprises)
38. PARIS 2019
Disney’s Newport Bay Club®
CONTACT
18 Janvier, 2019
stephaniesioen@sioen.fr
Téléphone: 04.96.11.05.30
stephanie-sioën-gallina