La règlementation permet aux autorités de contrôle de mettre en œuvre des mécanismes de certification pour démontrer que les opérations de traitements effectuées sont conformes au RGPD. Dans ce contexte, la CNIL a ouvert une consultation publique jusqu’au 28 février 2025 concernant un projet de référentiel de certification des sous-traitants. Le responsable de traitement doit sélectionner un sous-traitant de confiance présentant les garanties suffisantes lui permettant de répondre aux exigences du RGPD.  

Cette certification a pour objectif de mieux orienter les responsables de traitement dans le choix de leurs sous-traitants .Elle permet d’assurer un niveau de garanties, certifiés par des organismes tiers, conformément à un référentiel reconnu par la CNIL, en tant qu’autorité de contrôle en France.  

Comme tout mécanisme de certification, ce processus est volontaire. Il sera ouvert à tout organisme, établi sur le territoire de l’Union européenne, ou d’un Etat membre de l’Espace Economique Européen, agissant en tant que sous-traitant pour un responsable de traitement, et ne se limite pas à un secteur en particulier. Aussi, les sous-traitants auront la possibilité de ne certifier qu’une partie de leurs activités et de leurs services.  

Ce projet de certification comprend 90 points de contrôles, organisés autour de quatre parties : la contractualisation, la préparation de l’environnement de traitement, et notamment les mesures de sécurité, la mise en œuvre du traitement, et la fin du traitement. L’un des critères de certification sera notamment que le sous-traitant doit avoir désigner un délégué à la protection des données auprès d’une autorité de protection des données (qui peut être la CNIL, ou non), ainsi qu’un référent certification qui pourra être le DPO s’agissant d’actions qui n’entrainent pas de conflit d’intérêts avec ses missions.  

Une cinquième partie sera dédiée à un plan d’actions à mettre en œuvre par le sous-traitant sur la période de certification de trois ans, renouvelable. A ce titre, il devra notamment établir un plan d’évaluation de ses propres sous-traitants (sous-traitants ultérieurs) lorsqu’il y a recours. Le sous-traitant doit également mettre en place une veille juridique et technologique.  

Le référentiel détaille la liste des mesures de sécurité comprenant notamment des mesures élémentaires de sécurité, tel que le chiffrement des données, les gestions des habilitations, la mise en place de contrôles des accès physiques, etc .  

• Article 28 du RGPD – Sous-traitant 

• Article 42 du RGPD – Certification 

24 décembre 2024 

La règlementation pose un principe fondamental selon lequel les données à caractère personnel ne peuvent être traitées que pour une durée limitée. En ce sens, le RGPD indique que les données ne doivent être conservées « sous une forme permettant l’identification des personnes concernées » que le temps d’accomplir la finalité du traitement en question.

La durée de conservation comprend deux notions :

• La conservation des données en base active, le temps d’accomplir l’objectif du traitement
• La conservation des données en archive intermédiaire, pour des raisons contentieuses notamment.

Ainsi, la durée de conservation s’entend des deux durées additionnées. Pour rappel, toutes les durées de conservation ne comprennent pas nécessairement d’archivage intermédiaire. En effet, cette notion n’intervient que lorsque le responsable de traitement a des obligations légales à remplir, qui impliquent de conserver les données. De surcroit, en cas d’archivage intermédiaire, il faut effectuer un tri. Seules les données nécessaires au respect de l’obligation légale doivent être conservées. Il ne faut donc pas faire basculer toutes les données de la base en archive.

Il convient donc de déterminer la durée de conservation des données préalablement à la mise en œuvre de tout traitement. Pour ce faire, le responsable de traitement dispose de ressources diverses dont notamment :

• la règlementation : Par exemple, le code de la santé publique exige que les dossiers médicaux soient conservés pendant 20 ans à compter de la dernière visite du patient (il existe des conditions particulières concernant les mineurs).
• les référentiels et doctrines de la CNIL, comme par exemple les méthodologies de référence qui proposent certaines durées de conservation

A défaut de textes ou de référentiel, il reviendra au responsable de traitement de déterminer cette durée eu égard à la finalité du traitement.

Pour ce faire, il s’interrogera sur la durée nécessaire dans le cadre de l’utilisation courante des données, ainsi que les durées de prescription éventuelles qui pourraient justifier une conservation plus longue.

Il est également possible d’anonymiser les données afin de les conserver plus longtemps. En effet, les dispositions du RGPD ne s’appliquent qu’aux données à caractère personnel, c’est-à-dire celles permettant l’identification des personnes concernées. Dès lors que les données ne permettent aucunement d’identifier les personnes concernées, et sont donc anonymes, elles sortent du champ du RGPD. Il est donc permis de les conserver sans limite de temps.

Attention toutefois à la notion d’anonymisation : l’identification des personnes concernées doit être « complètement » impossible, même en combinant les données avec d’autres.

Dans tous les cas, dans une démarche d’accountability, il est plus que recommandé de documenter le raisonnement ayant abouti au choix d’une durée de conservation :  par le biais de procédures internes, de document tel que le registre ou un document référençant les différentes durées de conservation de l’organisme.

A noter : ce n’est pas tout de définir les durées de conservation, il est important de les respecter !

En cas de contrôle, la CNIL vérifie que des durées sont définies, et cohérentes, mais aussi et surtout respectées. Ainsi, a été sanctionnée, dans le cadre de la procédure simplifiée en octobre 2024, une société commercialisant des portefeuilles de cryptomonnaie pour manquement à l’obligation de durée de conservation limitée.

• Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
• Article 25 du RGPD – Protection des données dès la conception et protection des données par défaut
• Article 4 – Loi relative aux fichiers, à l’informatique et aux libertés n°78-17 du 6 janvier 1978

Date de mise à jour : 03.12.2024

La nouvelle organisation de la CNIL est parue au Journal Officiel du 20 novembre 2024 par une décision du 7 novembre 2024.

Organisée auparavant autour de cinq directions, ainsi qu’un service des affaires européennes et internationales, elle s’articule désormais autour de sept directions et un secrétariat général.

Le secrétariat général s’est notamment vu attribuer le service des affaires européennes et internationales, en plus de ses autres missions concernant notamment l’organisation du fonctionnement du collège de la formation restreinte, ou encore l’exécution des délibérations et décisions de la commission.

Concernant les sept directions, restent inchangées les directions suivantes :

• Une direction des relations avec les publics
• Une direction de l’accompagnement juridique
• Une direction des technologies, de l’innovation et de l’intelligence artificielle : cette direction existait déjà, mais ne comprenait pas l’aspect intelligence artificielle. A ce titre, cette direction est notamment chargée d’appréhender le fonctionnement des systèmes d’intelligence artificielle et leurs impacts pour les personnes. Elle réalise donc une veille sur les usages du numérique et les innovations technologiques.
• Une direction administrative et financière

La nouveauté principale réside dans la scission de la direction de la protection des droits et des sanctions en deux directions.  : Ddésormais, deux directions distinctes coexistent, l’une chargée des contrôles et des sanctions, et l’autre en charge de l’exercice des droits et des plaintes. Ces directions sont naturellement appelées à travailler de concert.

Leurs rôles sont toutefois distincts :

• La direction de l’exercice des droits et des plaintes se charge de traiter les réclamations, et plaintes introduites auprès de la CNIL, ainsi que des signalements concernant la protection des données émis par des lanceurs d’alerte. Elle a également la charge de l’exercice indirects des droits lorsqu’il s’applique.

Elle participe également à la mission de la direction des contrôles et des sanctions, en proposant des dossiers à orienter vers une procédure de sanction simplifiée notamment.

• La direction des contrôles et des sanctions, quant à elle, se charge d’élaborer et de mettre en œuvre la politique des contrôles et des sanctions de la commission. Ce programme est réalisé en collaboration avec la direction de l’exercice des droits et des plaintes. La direction des contrôles et des sanctions publie à ce titre son programme de contrôle annuel, validé par le président.

De plus, elle examine les signalements de violations de données, et instruit les mesures correctrices ainsi que les procédures de sanctions. Elle gère également le contentieux de la commission. Elle contribue enfin à la mise en œuvre de la stratégie répressive de la commission, et participe à la doctrine de la commission.

Par ailleurs, une nouvelle direction a vu le jour, et concerne la direction des systèmes d’information.

Cette nouvelle organisation sera progressivement mise en place jusqu’à juillet 2025.          

Version 20 novembre 2024                              

QU’EST-CE QUE LE PHISHING/HAMECONNAGE ?

Le phishing, ou hameçonnage, consiste à voler l’identité, ou les informations confidentielles d’une victime, telles que des codes d’accès, des coordonnées bancaires, par un subterfuge. L’attaquant simule un système d’authentification afin de convaincre l’utilisateur de communiquer ses informations confidentielles en pensant avoir à faire au système légitime. Les victimes sont souvent invitées à visiter le site frauduleux par des courriers électroniques.

Cet hameçonnage peut être ciblé : dans ce cas, il repose sur l’usurpation de l’identité de l’expéditeur et lie l’objet du mail ainsi que le corps du message à l’activité de la victime ciblée.

L’hameçonnage est la première menace pour les particuliers et de la seconde pour les entreprises et associations (selon le rapport d’activité de 2023 de cybermalveillance).

Comment se protéger contre de telles attaques ?

• Ne jamais communiquer d’informations sensibles par messagerie ou téléphone
• Ne pas cliquer sur des liens douteux : il est possible de faire apparaitre l’URL du lien en positionnant la souris sur ce lien sans cliquer pour vérifier la vraisemblance du lien avec le site visé. Le plus sur est encore d’aller directement sur le site de l’organisme sans cliquer sur le lien transmis par sms ou email
• Vérifier l’adresse du site qui s’affiche dans le navigateur : attention parfois un seul caractère change
• Contacter directement l’organisme concerné pour confirmer le message reçu
• Utiliser des mots de passe différents et complexes pour chaque site / application pour éviter qu’un vol de mot de passe ne permette de compromettre plusieurs comptes. Il est également possible d’utiliser des coffres forts numériques permettant de stocker de façon sécurisée les mots de passe
• Vérifier la date et heure de la dernière connexion sur votre compte dès que possible afin de s’assurer de l’absence d’accès illégitime
• Activer la double authentification à chaque fois que cela est proposé

Une bonne pratique consiste à faire des simulations au sein de l’organisme. Le service informatique peut simuler de fausses campagnes de phishing dans le but de sensibiliser l’ensemble des collaborateurs. Cela peut ensuite donner lieu à des campagnes de rappels des bonnes pratiques.

Comment réagir face à ce type d’attaque ?

En cas de suspicion ou d’attaque par hameçonnage, contactez directement l’organisme concerné pour confirmer, ou non, les messages reçus. Il faut également faire opposition en cas de fraude concernant des éléments liés aux moyens de paiement, et changer les mots de passe des sites qui auraient pu être concernés.

Par ailleurs, il existe différents lieux où signaler les sites frauduleux : Signal spam, dont la CNIL est membre, permet de signaler les messages et sites douteux. Il est également possible de signaler par SMS au 33 700 (service gratuit), dispositif de signalement des messages et appels non sollicités mis en place par l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs (af2m). Enfin, il est possible de signaler auprès de Phishing Initiative, service porté par Orange Cyberdéfense.

Pour rappel, les attaques par hameçonnage peuvent impliquer des violations de données à caractère personnel. C’est d’ailleurs ce que la CNIL rappelle dans son bilan concernant les violations de données : plus de la moitié des violations de données trouvaient leur source dans du piratage, avec au deuxième rang l’hameçonnage touchant davantage les organismes du secteur public. Ainsi, dès lors que ce type d’attaque intervient il faut vérifier si elles ont engendré une violation de données personnelles et, le cas échéant, les notifier à l’autorité de contrôle, et aux personnes concernées.

• Définition phishing et phishing ciblé – Cyberdico ANSSI
• Que faire en cas de phishing ou hameçonnage ?– Cybermalveillance
• L’hameçonnage (phishing) : la menace prédominante pour tous les publics – Cybermalveillance
• Violations de données personnelles : bilan de 5 années de RGPD – CNIL

Version 28 octobre 2024

Le ransomware est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Les ransomwares, ou rançongiciels en français, sont des outils auxquels les cybercriminels recourent.

Lors de ce type d’attaque, l’ordinateur ou le système d’information de la victime est mis hors d’état de fonctionnement par l’attaquant. L’attaquant adresse un message non chiffré à la victime où il propose de fournir le moyen de déchiffrer les données, à réception du paiement d’une somme par la victime.

Comment éviter ce type d’attaque ? Le site cybermalveillance.fr rappelle les règles élémentaires de sécurité afin de se protéger contre les rançongiciels. Il s’agit de :

• Appliquer régulièrement et systématiquement les mises à jour de sécurité système et des logiciels installés sur les machines
• Disposer d’un antivirus à jour, et configurer son pare-feu afin de s’assurer qu’il ne laisse passer que des applications et services légitimes
• Ouvrir uniquement des courriels et pièces jointes dont vous êtes certains de la provenance : ne pas cliquer sur les liens douteux, ne pas ouvrir les pièces jointes douteuses provenant d’expéditeurs inconnus, ou connu mais avec une formulation inhabituelle
• Installer uniquement des applications dont l’origine ou la réputation n’est pas douteuse
• Eviter les sites non sûrs
• Faire des sauvegardes régulières afin de pouvoir réinstaller les données le cas échéant
• Utiliser des comptes administrateurs uniquement lorsque cela est justifié : pour des installations de nouveaux programmes par exemple
• Avoir une politique de mot de passe robuste
• Eteindre son ordinateur lorsqu’il n’est pas utilisé

Comment réagir à ce type d’attaque ? Le premier réflexe à avoir est d’isoler la machine d’internet ou du réseau informatique. Pour cela, il faut :

• Désactiver la connexion wifi, ou débrancher le câble Ethernet en cas de connexion filaire
• Prévenir immédiatement le service / prestataire informatique afin de prendre les mesures nécessaires.

Ce type d’attaque entraine souvent des violations de données à caractère personnel, qui sont définies par le RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Ainsi dès lors que des données à caractère personnel ont pu être la cible de ce type d’attaque, il faudra notifier la violation à la CNIL.

• Pour rappel, la notification à la CNIL doit en principe être faite dans les 72H à compter de la connaissance de la violation par le responsable de traitement. Cette connaissance court à compter du moment où une personne au sein du responsable de traitement est informée, quand bien même l’information ne serait pas remontée dans les bons services.
• De plus, si cette attaque a causé un risque élevé pour les personnes concernées par les données attaquées, il faudra également en informer les personnes concernées.
• Depuis 2018, la CNIL observe que plus de la moitié des violations de données qui lui ont été notifiées sont issues du piratage, avec au premier rang les attaques par rançongiciel.

•   Définition rançongiciel – Cyberdico ANSSI
• Rançongiciel ou ransomware, que faire ? – Cybermalveillance
• Violations de données personnelles : bilan de 5 années de RGPD – CNIL
• Définition violation de données – Article 4 RGPD

08 octobre 2024

A la suite de la consultation publique lancée par la CNIL entre le 21 juillet et le 8 octobre 2023 concernant des recommandations sur le respect de la vie privée dans les applications mobiles, la CNIL a adopté ces recommandations par délibération du 18 juillet 2024, publiée le 27 septembre.  

L’Autorité de la concurrence avait également été saisie afin de rendre son avis sur ces recommandations. Entre autres, l’Autorité de la concurrence relevait l’importance trop grande accordée à certains acteurs, dont notamment les fournisseurs de systèmes d’exploitation, craignant des conséquences anticoncurrentielles. De plus, l’Autorité de la concurrence s’inquiétait que ces recommandations ne créent des barrières supplémentaires à l’entrée sur le marché de nouveaux entrants, en posant des contraintes supplémentaires sur leur compétitivité.

Cette consultation était intervenue du fait de l’accroissement des usages numériques quotidiens des applications mobiles par les Français. Le recours grandissant à des applications mobiles entraine un accès à de nombreuses données par ces applications, dont des données particulièrement intrusives, telles que la localisation pour les applications de plan par exemple, ou encore des données de santé pour les applications liées aux montres connectées. Ces accès grandissants engendrent des risques supplémentaires pour la vie privée des personnes concernées.

La CNIL a donc adopté des recommandations dont le champ d’application est large : elles visent tous les acteurs impliqués dans le développement et la mise à disposition d’application mobile. Ainsi, elles concernent les éditeurs, les développeurs, les fournisseurs de kits de développement logiciel, les fournisseurs de systèmes d’exploitation, ainsi que les fournisseurs de magasins d’applications.

Ces recommandations poursuivent notamment trois objectifs :

• Définir et encadrer le rôle des acteurs : les responsabilités des différents acteurs sont précisées, ainsi que leurs obligations respectives.
• Améliorer l’information des utilisateurs concernant l’utilisation de leurs données.
• S’assurer que le consentement donné est libre et éclairé.

Le but de ces recommandations n’est pas de rappeler les principes et obligations en matière de protection des données, mais de préciser leur mise en application, rappelle la CNIL. Elles visent donc à clarifier les règles applicables afin d’en permettre une meilleure application.

Ces recommandations précisent les conditions pour s’assurer que l’application est ou non soumise à la règlementation relative à la protection des données, notamment à l’aide de logigrammes. Elles fournissent des listes de vérifications à opérer afin de concevoir une application conformément à la règlementation…

Dans le cadre de son rôle d’autorité de contrôle, la CNIL a indiqué qu’elle procèderait, dès 2025, à une campagne spécifique de contrôle afin de s’assurer de la prise en compte des recommandations.

• Délibération n°2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles
• Avis de l’autorité de la concurrence, Concurrence et données, décembre 2023

Date de mise à jour : 27.09.2024

Le principe de l’exactitude des données est un des principes fondamentaux encadrant le traitement des données à caractère personnel.

Aux termes de la Règlementation, les données doivent être exactes et, si nécessaire, tenues à jour.

Toutes les mesures raisonnables doivent être prises pour rectifier les données dès lors qu’elles ne sont pas correctes (erreur dans les données, par exemple). Cela peut passer par une modification ou par la suppression des données obsolètes ou inexactes.

A ce titre, les données doivent également être mises à jour tout au long du traitement afin de s’assurer qu’elles sont et demeurent exactes.

C’est dans ce contexte que la CNIL s’est prononcée en décembre 2023, et a sanctionné l’absence de mise à jour de données par les ministères de l’Intérieur et des Outre-mer, de l’Europe et des Affaires étrangères concernant les demandes de visas passées et en cours. Les ministères utilisaient des copies locales d’un fichier de demandes de visa au lieu d’utiliser le fichier centralisé, entrainant de ce fait une absence de mise à jour des données. Dans ce cadre, les données que traitaient les Ministères n’étaient pas exactes.

En parallèle de ce principe d’exactitude, la Règlementation prévoit un droit de rectification permettant aux personnes concernées d’obtenir du responsable de traitement que les données les concernant soient modifiées, notamment en complétant les données par une déclaration complémentaire.

Rappelons à ce titre qu’un autre principe fondamental de la Règlementation est celui d’assurer la protection des données par défaut, et tout au long du traitement de données. S’assurer de disposer de mécanisme de rectification des données participe du respect de cette protection par défaut, par exemple via un espace dédié permettant aux personnes concernées de rectifier les données les concernant.

En effet, traiter des données inexactes pourrait être préjudiciable pour les personnes concernées. La CNIL a sanctionné le responsable de traitement du fichier automatisé des empreintes digitales. Ce fichier ne prenait pas en compte les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite qui avaient été rendues par les autorités judiciaires. Cela contrevenait à l’exigence de mise à jour des données, et donc d’exactitude des données.

• Article 5 1) d. RGPD – Principes relatifs au traitement des données à caractère personnel
• Article 4 4° Loi n°78-17
• Article 16 RGPD Droit de rectification
• Délibération SAN-2023-017 du 11 décembre 2023 concernant le ministère de l’Intérieur et des Outre-mer et le ministère de l’Europe et des Affaires étrangères
• Délibération SAN-2021-016 du 24 septembre 2021 concernant le traitement X
• Délibération SAN-2024-001 du 8 janvier 2024 relative à l’injonction prononcée à l’encontre de […] par la délibération n°SAN-2021-016 du 24 septembre 2021

Date de mise à jour : 09 septembre 2024

4 ans après son premier rapport d’application du RGPD publié en 2020, la Commission européenne dresse son second bilan. Depuis 2020, de nombreux textes ont été adoptés par l’Union européenne concernant notamment le développement de l’intelligence artificielle, la facilitation de la recherche novatrice, ou encore la création d’un environnement numérique plus sûr. Bien que la Commission européenne salue ces évolutions, elle souligne dans ce bilan d’application qu’il reste des progrès à faire dans de nombreux domaines.

Un point particulièrement mis en lumière est le besoin d’une application cohérente de la règlementation relative à la protection des données, par les différents Etats membres de l’Union. La Commission relève différents points. Le RGPD a laissé la possibilité aux Etats membres d’adopter des législations sectorielles, amenant parfois à des contradictions entre les diverses règlementations nationales au sein même de l’Union européenne freinant ainsi la libre circulation des données.

Par ailleurs, chaque autorité de protection des données est libre d’adopter des lignes directrices reflétant son interprétation de la règlementation. Cela donne lieu à des divergences d’interprétation de la réglementation entre les autorités de protection des données, conduisant à une insécurité juridique. La Commission prend pour exemple les points de vue divergents de certains Etats membres sur la base juridique appropriée dans le cadre de la conduite d’un essai clinique notamment, ou encore sur la qualification des parties entre responsable de traitement et sous-traitant. De surcroit, la Commission relève que certaines autorités de protection des données publient parfois des lignes directrices au niveau national, qui sont contraires à celles du Comité européen de la protection des données. 

Afin d’améliorer l’application du RGPD, d’accroitre la cohérence qui lui fait parfois défaut et d’harmoniser les législations, la Commission a notamment proposer d’adopter un règlement sur les règles de procédure en juillet 2023. Cette proposition vise à mettre en place des voies de recours rapides pour les particuliers. La Commission a relevé que les autorités de protection des données renforçaient leur coopération, et avaient davantage recours au mécanisme de contrôle de cohérence, de façon informelle. Elle recense 1000 demandes d’assistance mutuelle formelles, contre 12 300 informelles. 

S’agissant toujours de l’application cohérente de la règlementation, la Commission relève également le besoin d’adopter des lignes directrices plus concises et qui répondent davantage à la pratique. En effet, selon les autorités de protection des données, les lignes directrices adoptées par le CEPD sont trop théoriques, et ne répondaient pas aux problèmes concrets que se posent les acteurs. Il est nécessaire que le CEPD consulte les parties prenantes afin de mieux appréhender les dynamiques du marché. Par exemple, il a été identifié la nécessité d’adopter des lignes directrices concernant l’anonymisation et la pseudonymisation, ou encore l’intérêt légitime et la recherche scientifique.

En conclusion, la Commission considère qu’il convient de se concentrer sur l’application rigoureuse du RGPD, par une interprétation et une application cohérente dans l’ensemble de l’Union, et également sur la coopération entre les différentes autorités.