• Français -fr 

RGPD

L’Office Public de l’Habitat de Rennes Métropole ARCHIPEL HABITAT condamné à 30.000 € pour manquement à l’obligation de traiter des données de manière compatible avec les finalités pour lesquelles elles ont été collectées.

L’Office Public de l’Habitat de Rennes Métropole ARCHIPEL HABITAT (ci-après l’OPH) condamné à 30.000 € pour manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées.

Le 24 juillet 2018, la Cnil a prononcé une sanction de 30.000 euros à l’encontre de l’OPH de Rennes pour avoir adressé un courrier à l’ensemble des locataires du parc social pour critiquer la décision du gouvernement de diminuer le montant des aides personnalisées au logement (APL).

La Cnil a considéré que les données des locataires avaient été abusivement utilisées à des fins politiques alors qu’elles avaient été collectées dans le cadre de son activité de bailleurs social.

L’OPH a notamment justifié que ce courrier était une information qui relevait de ses obligations contractuelles en qualité de bailleur.

La Cnil a considéré que la finalité poursuivie excédait ses missions légales, compte tenu notamment des termes utilisés par l’OPH.

En outre, l’autorité a considéré que « si, au titre de ses obligations en qualité de bailleur, l’OPH a la possibilité d’adresser un courrier aux locataires, y compris pour les informer sur les conséquences, avérées ou non, de la réforme du montant des APL, il ne pouvait en revanche légitimement pas utiliser les données à caractère personnel de l’ensemble des locataires du parc immobilier social, dès lors que le courrier adressé dépassait la simple finalité d’information ».

Pour accéder à la décision : https://bit.ly/2MnG1eR

DAILYMOTION condamnée à 50.000 € pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données (article 34 de la Loi Informatique et Libertés).

Le 24 juillet 2018, la CNIL a prononcé une sanction de 50.000 euros à l’encontre de la société DAILYMOTION pour avoir insuffisamment sécurisé les données des utilisateurs inscrits sur sa plateforme d’hébergement de contenus vidéo.

« Si la formation restreinte admet que la réussite de l’attaque résulte bien de la conjonction de plusieurs facteurs dont certains ne sont pas imputables à la société, elle considère toutefois que cette attaque n’aurait pas pu aboutir si au moins l’une des deux mesures détaillées ci-dessus avait été prise par la société ».

En conséquence, tout en soulignant que l’attaque subie par la société était sophistiquée, la formation restreinte a néanmoins relevé que cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient étés mises en place. Dans sa décision, la formation restreinte a tenu compte du fait que seuls des adresses électroniques et des mots de passe chiffrés ont été extraits.

Pour accéder à la décision : https://bit.ly/2MHQv5M

Données personnelles : décision d’adéquation entre l’UE et le Japon

Le 17 juillet dernier, l’Union Européenne et le Japon ont finalisé leurs pourparlers sur l’adéquation réciproque. Ils ont convenu de reconnaître comme «équivalents» leurs systèmes respectifs de protection des données, ce qui permettra la circulation des données entre l’Union Européenne et le Japon en toute sécurité.

La Commission Européenne envisage d’adopter la décision d’adéquation au cours de l’automne prochain. Avant cela, le Japon s’est engagé à mettre en oeuvre des garanties supplémentaires pour protéger les données à caractère personnel des citoyens de l’UE.

Pour accéder au communiqué de presse de la Commission Européenne cliquez ici.

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

L’encadrement juridique des failles de sécurité.

Une faille de sécurité est une vulnérabilité au sein d’un système informatique pouvant être exploitée afin de porter atteinte à l’intégrité de ce système. L’atteinte en question peut constituer une altération du fonctionnement du système, mais elle peut également concerner les données contenues dans ce système. Dans le cas des données personnelles, on parle de violation des données personnelles, à savoir la perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

1- La problématique des données personnelles : les obligations légales.

Parallèlement à l’importance croissante des données personnelles, nous subissons tous de plus en plus de pratiques illégales voire criminelles telles que le ransomware visant à chiffrer les données d’un utilisateur et à exiger une rançon auprès de lui pour obtenir le déchiffrement de celles-ci.

Avec l’entrée en application du Règlement Général à la Protection des Données (RGPD), les mesures relatives à la sécurité des traitements de données personnelles s’accentuent en Europe.

a- L’obligation d’assurer la sécurité du traitement

L’article 32 prévoit désormais une obligation pour le responsable du traitement ou le sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de divers facteurs tels que la nature et les finalités du traitement, les risques et les coûts de mise en œuvre de ces mesures. Ce texte évoque notamment la pseudonymisation et le chiffrement comme pouvant représenter des mesures techniques et organisationnelles appropriées.

Pour autant, des failles de sécurité peuvent également être détectées dans les protocoles de chiffrement, comme le montre l’exemple récent des protocoles PGP et S/MIME, utilisés dans le chiffrement des mails.

Il conviendra donc pour les responsables de traitement de se montrer particulièrement vigilant quant à la sécurité effective de leurs traitements et aux démarches entreprises afin de s’assurer de l’adéquation entre les données détenues, les opérations qui en sont faites et le niveau de sécurité mis en place. Une démarche réfléchie, concertée, testée et documentée devra être partagée dans l’entreprise.

b- Les obligations de notification et de communication

Le RGPD (articles 33 et 34) a instauré une obligation de notification, obligeant les responsables de traitement à notifier toute violation de données personnelles à l’autorité de contrôle compétente, et ce dans un délai de 72 heures à compter de sa découverte.

Cette obligation est doublée d’une obligation de communiquer dans les meilleurs délais cette violation auprès de la personne concernée en cas de risque élevé pour les droits et libertés d’une personne physique. En cas de doute, il est conseillé de notifier à l’autorité de contrôle, qui appréciera alors la nécessité d’informer les personnes concernées.

Le responsable de traitement doit donc être en mesure d’identifier rapidement une faille de sécurité et les risques qu’elle représente, grâce à des outils techniques appropriés. Il doit ensuite procéder à la notification selon la procédure déterminée par l’autorité de contrôle compétente, et devra impérativement justifier tout retard éventuel dans cette notification.

Plusieurs autorités de contrôle (CNIL, ICO1 ,…) ont établi des formulaires-types de violation de données. La CNIL a également mis en place un télé-service de notification de violations, et a d’ores et déjà indiqué que le document récapitulatif de la notification à la CNIL permettait de répondre à l’obligation de documentation interne.

2- La mise en place d’une politique interne face aux failles de sécurité

Au vu des obligations qui leur incombent, les responsables de traitement devront être en mesure de justifier leur politique en matière de sécurité, qui devra prévoir l’organisation interne de l’entreprise (mise en place de process en cas de découverte d’une faille de sécurité, la gestion des habilitations, le niveau de sécurité selon le type de données ou l’opération concernée, la sécurité physique, matériel, les politiques de suppression des données, etc.), les modalités de communication vis-à-vis des utilisateurs, mais aussi les relations contractuelles conclues avec des acteurs extérieurs.

Rappelons que tous les contrats conclus avec les sous-traitants doivent comporter certaines mentions obligatoires, détaillées à l’article 28 du RGPD.

Enfin, la preuve du respect des obligations liées à la sécurité des traitements impliquera notamment la mise en place d’un cahier des incidents (distinct du registre des traitements) comprenant l’ensemble de la documentation relative à ces incidents. Cette documentation doit comprendre la nature de la violation, les catégories et le nombre approximatif des personnes concernées par la violation et des enregistrements de données personnes concernés, les conséquences probables de la violation de données, et les mesures prises ou envisagées pour atténuer les éventuelles conséquences négatives ou pour éviter que l’incident se reproduise.

3- Sanctions légales

En cas de non-respect des obligations précitées, les autorités de contrôle (CNIL2 en France) ont la possibilité de sanctionner tout responsable de traitement par le biais d’amendes administratives, pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial (Article 83-4 a) du RGPD).

Par ailleurs, en droit français, le législateur a sanctionné pénalement tout accès ou maintien frauduleux dans un « système automatisé de traitement de données » (STAD), dont la définition est interprétée largement, de deux ans d’emprisonnement et 60 000 € d’amende (Article 323-1 du Code Pénal).

Cette peine est portée à 3 ans d’emprisonnement et 100 000 euros d’amende lorsqu’il s’ensuit une modification ou suppression de données, ou une altération du fonctionnement de ce système.

Blandine Poidevin
Avocat associé
Cabinet Jurisexpert
www.jurisexpert.net

1.Information Commissioner’s Office
2.Commission Nationale de l’Informatique et des Libertés

La blockchain : une mesure technique appropriée pour la sécurité des traitements ?

La technologie de la blockchain est une technologie décentralisée et transparente permettant le stockage et la transmission d’informations sous forme de chaînes de blocs de transactions. Elle a été définie officiellement en 2017 comme un « mode d’enregistrement de données produites en continu, sous forme de blocs liés les uns aux autres dans l’ordre chronologique de leur validation, chacun des blocs et leur séquence étant protégés contre toute modification. »1

Différents objectifs peuvent motiver son utilisation, tels que le transfert d’actifs (bitcoins, etc…), la tenue de registres (traçabilité) ou encore le recours aux « smarts contrats 2 ».

1- Le cadre juridique de la blockchain.

La blockchain est apparue en droit français sous le terme de « dispositif d’enregistrement électronique partagé ». Ce terme fait référence à l’enregistrement des données (registre) et son accessibilité, sans restreindre davantage la définition et permettant ainsi l’évolution des procédés techniques liés aux blockchains.

Cette technologie a d’abord été reconnue par l’ordonnance du 28 avril 2016 3, qui a créé un article L223-12 du Code de Commerce4 afin d’autoriser l’inscription des émissions et cessions de minibons dans un tel dispositif.

C’est ensuite la loi dite Sapin 25 qui imposait au gouvernement de prendre des mesures afin d’ « adapter le droit applicable aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers ».

En conséquence, l’ordonnance du 8 décembre 20176 a été adoptée afin d’intégrer cette technologie de la blockchain dans la règlementation relative aux titres financiers, reprenant la notion de « dispositif d’enregistrement électronique partagé » malgré la définition apportée par le journal officiel de la « chaîne de blocs ». Cette ordonnance entrera en vigueur à la publication de son décret d’application, au plus tard le 1er juillet 2018.

Malgré l’apparition de cette technologie dans les textes juridiques, certaines caractéristiques de la blockchain restent difficilement conciliables avec d’autres textes, notamment la nouvelle règlementation applicable en matière de protection des données personnelles. En effet, la transparence (accessibilité publique) des données et leur caractère immuable (obstacle technique à tout droit à la rectification ou suppression des données) sont en contradiction avec les droits des personnes concernées prévus par le RGPD.

Il existe cependant des blockchains non publiques, telles que les blockchains administrées (existence d’un administrateur), en consortium (entente de plusieurs acteurs pour exercer un contrôle sur le réseau) ou privées (un seul acteur a autorité sur le réseau), pour lesquelles seraient nécessaires des permissions d’accès, de lecture et de vérification du registre.

Dans de telles hypothèses, les données ne sont plus accessibles de manière transparente, et on pourrait envisager des modifications de la blockchain, bien que cette opération reste lourde et coûteuse.

De manière générale, et même si ces difficultés ne sont pas les seules rencontrés au regard du RGPD7 , il est permis de penser que l’évolution de cette technologie pourrait déboucher sur la création d’une blockchain conciliable avec les exigences du règlement européen en termes de protection des données personnelles. Dans ce cas se poserait alors une question nouvelle : la blockchain pourrait-elle devenir un outil recommandé par le RGPD en tant que mesure technique de sécurité assurant la protection des données ?

2- La sécurité de la blockchain

 La technologie de la blockchain, en ce qu’elle est décentralisée, rend techniquement plus difficile le piratage ou l’attaque des bases de données concernées, notamment l’attaque de l’homme du milieu8 , ou encore l’usurpation d’identité. Il est également beaucoup plus difficile d’altérer ou de supprimer des données9 .

Par ailleurs, la blockchain utilise des techniques cryptographiques afin de chiffrer les données, ce qui accentue la protection des informations contenues dans les blockchains.

Cette double protection (décentralisation et chiffrement) permet de penser que la blockchain assurerait une sécurité renforcée par rapport à d’autres systèmes de protection.

La blockchain permettrait de renforcer la sécurité dans le domaine de l’IoT10 , en permetant à des objets connectés de communiquer entre eux sans passer par une plateforme centrale, réduisant là encore les risques d’actions malfaisantes extérieures.

Cet outil présente toutefois des faiblesses, comme l’a prouvé l’attaque en juin 2016 de la plateforme DAO, lors de laquelle un attaquant aurait profité d’une faille dans le code d’un smart contract pour soutirer environ 50 millions de dollars.

En effet, comme tout outil informatique, l’efficacité d’une blockchain dépend de la conception de son code, qui devra être rigoureuse et s’accompagner d’une solide gestion des clés de chiffrement.

De même, le recours à une blockchain dépend de la capacité des appareils utilisés (notamment dans le cadre d’objets connectés), car cette technologie nécessite une puissance de calcul importante.

Sous réserve de la prise en compte de l’ensemble du droit des données personnelles, la blockchain peut être considérée comme offrant un niveau de sécurité susceptible de rassurer les responsables de traitement.

Blandine Poidevin
Avocat associé
Cabinet Jurisexpert
www.jurisexpert.net

1. JORF n° 0121 du 23 mai 2017
2.Les « contrats intelligents » sont des programmes autonomes exécutant les termes et/ou conditions d’un contrat de manière automatique et sans intervention humaine.
3. Ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse
4. L223-12 du Code de Commerce : « Sans préjudice des dispositions de l’article L. 223-4, l’émission et la cession de minibons peuvent également être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d’Etat. »
5. Article 120 de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
6.Ordonnance n°2017-1674 du 8 décembre 2017, relative à l’utilisation d’un dispositif d’enregistrement électronique partagé pour la représentation et la transmission de titres financiers.
7.Voir article du mensuel Expertise des SI, « La blockchain est-elle compatible avec le Règlement Général sur la Protection des Données ? », Blandine Poidevin et Christine Vroman, juin 2017
8. Man-in-the-middle attack : attaque portant sur le canal de communication afin d’intercepter les communications de deux parties
9. « pour supprimer une donnée, il faudrait que plus de la moitié des nœuds du réseau travaillent ensemble pour reconstruire la chaîne de blocs depuis le moment où la donnée a été ajoutée » (cf. Etude de l’Open Data Institute (ODI) britannique de 2016)
10. Internet of Things : objets connectés

Maître Viviane GELLES interviendra au NDDCAMP 2018 ce 21 juin 2018

« Les obligations juridiques des éditeurs de sites : hébergement, référencement, RGPD… »

Découvrez le programme ici