Le responsable de traitement n’échappe pas à son obligation de sécurité pour les données dont le traitement est confié à des sous-traitants
Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a confirmé une décision prononcée par la formation restreinte de la CNIL le 7 août 2014, ayant sanctionné Orange pour avoir manqué à son obligation de sécurité prévue à l’article 34 de la loi Informatique et libertés.
A la suite d’une intrusion sur le serveur d’une société sous-traitante d’Orange et de l’accès non autorisé à plus d’un million de données personnelles d’abonnés ou de prospects de cette dernière, Orange avait notifié cette violation de données personnelles à la CNIL, comme l’y oblige l’article 34 bis de la loi précitée.
Les contrôles diligentés par la CNIL chez Orange et ses sous-traitants ayant révélé plusieurs manquements à l’obligation de sécurité, par une décision du 7 août 2014, la CNIL avait sanctionné Orange pour: (i) ne pas avoir procédé à un audit de sécurité avant l’utilisation de la solution d’emailing de son prestataire Gutenberg, (ii) avoir transmis des données de façon non-sécurisée à ce prestataire, et (iii) ne pas avoir veillé à ce que les mesures de sécurité à la charge de cette société soient également communiquées et répercutées sur son propre sous-traitant.
Le Conseil d’Etat a jugé que le fait que des opérations de traitement de données soient confiées à des sous-traitants, soumis par contrat à des obligations particulières de sécurité, ne décharge pas Orange, responsable du traitement, de son obligation de préserver la sécurité des données telle que prévue à l’article 34.
Considérant l’avertissement public prononcé par la CNIL proportionné à la gravité des manquements d’Orange qui disposait de moyens financiers et humains pour les prévenir, le Conseil d’Etat a confirmé cette sanction (Conseil d’État, 10ème / 9ème SSR, décision du 30 décembre 2015).
Lire l’arrêt du Conseil d’Etat du 30 décembre 2015
Données de géolocalisation : un loueur de véhicules est le responsable du traitement
Par une décision du 18 décembre 2015, le Conseil d’Etat confirme la qualité de « responsable de traitement » du loueur de véhicules vis-à-vis du dispositif de géolocalisation embarqué dans ses véhicules.
La CNIL, dans une délibération du 22 juillet 2014, avait considéré que la société de location de véhicules de luxe Loc Car Dream était responsable du dispositif de géolocalisation et donc, responsable du traitement des données en résultant au sens de l’article 3 de la loi Informatique et libertés.
La société avait alors été condamnée à payer la somme de 5000 euros pour avoir manqué à l’obligation d’accomplir les formalités préalables applicables à la mise en œuvre de ce dispositif de géolocalisation de véhicules de locations et à la gestion des clients et pour ne pas s’être conformée aux obligations de loi Informatique et libertés. En particulier, il lui était reproché de ne pas avoir veillé à l’adéquation, à la pertinence et au caractère non excessif des données traitées, d’informer les personnes de la géolocalisation des véhicules et d’avoir manqué à son obligation de sécurité.
Aux termes des dispositions du I] de l’article 3 de la loi Informatique et libertés, le Conseil d’Etat rappelle que « le responsable d’un traitement de données à caractère personnel est (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».
En l’espèce, l’ensemble des données de géolocalisation des trente-six véhicules concernés, centralisées chez l’hébergeur, accessible depuis un seul poste de travail, dont l’épouse du gérant détient le mot de passe, sont autant d’éléments permettant au Conseil d’Etat de considérer que la SARL Loc Car Dream doit être regardée comme le responsable du traitement déterminant les finalités et les moyens du traitement litigieux. Le fait que Loc Car Dream ne soit pas le propriétaire de l’ensemble des véhicules munis d’un dispositif de géolocalisation et objets du contrôle, est sans incidence sur sa qualité de responsable de traitement.
De ce fait, le Conseil d’Etat a rejeté la requête de la société de location de véhicules qui demandait l’annulation de la délibération précitée du 22 juillet 2014 (Conseil d’État, 10ème / 9ème sous-sections réunies, décision du 18 décembre 2015).
Lire l’arrêt du Conseil d’Etat du 18 décembre 2015 et la Délibération de la CNIL du 22 juillet 2014
Une sanction de 50 000 € pour manquement à l’obligation de sécurité
En juillet 2014, une cliente de la société Optical Center avait informé la CNIL que son mot de passe, permettant d’accéder à son espace client, lui avait été communiqué oralement par téléphone, laissant ainsi supposer qu’il apparaissait en clair dans la base de données.
Suite aux contrôles menés par la CNIL, Optical Center avait été mise en demeure de mettre en œuvre les mesures nécessaires, notamment pour assurer la sécurité et la confidentialité des données. La société ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL avait alors procédé à un nouveau contrôle sur place et à une audition de la société, aux mois de février et juin 2015.
La CNIL a relevé que la société n’avait toujours pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients (absence de procédure de sécurisation de la page d’accueil permettant d’accéder aux comptes en ligne, absence de politique de gestion des mots de passe, manque de complexité des mots de passe des clients existants, etc). De plus, le contrat signé par Optical Center avec l’un de ses prestataires ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données clients. Elle a donc prononcé une sanction pécuniaire de 50 000 euros à l’encontre d’Optical Center qu’elle a décidé de rendre publique (Délibération CNIL n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER).
Lire la délibération de la CNIL du 5 novembre 2015
La CJUE clarifie la notion « d’établissement » du responsable d’un traitement de données
Dans un arrêt du 1er octobre 2015 (CJUE, Weltimmo s.r.o, 1er octobre 2015, C-230/14), la CJUE a procédé à une interprétation de la notion « d’établissement » au sens de la Directive européenne 95/46 sur la protection des données à caractère personnel.
La société Weltimmo, immatriculée en Slovaquie, exploite un site internet d’annonces immobilières de biens situés en Hongrie, et traite les données à caractère personnel des annonceurs. Alors que de nombreux annonceurs ont demandé l’effacement de leurs données, Weltimmo ne s’est pas exécutée et a transmis ces données à des sociétés de recouvrement de créances. L’autorité de protection hongroise a alors été saisie par les personnes concernées par le traitement. Considérant que la loi hongroise était applicable, elle a infligé une sanction pécuniaire à Weltimmo, qui a contesté cette sanction devant la justice hongroise. C’est dans ce contexte que la cour suprême hongroise a interrogé la CJUE par renvoi préjudiciel, sur la détermination de la loi applicable au regard de l’article 4 de la directive 95/46, qui dispose que « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre ».
La CJUE a tout d’abord estimé que la notion d’établissement était conçue de manière souple par la directive, « qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée ».
Pour apprécier si un responsable de traitement dispose d’un établissement sur le territoire d’un Etat membre, la CJUE, prenant appui sur le considérant 19 de la directive, s’est fondée sur les deux critères suivants :
- l’exercice effectif et réel d’une activité ;
- au moyen d’une installation stable dans cet Etat membre. La CJUE a notamment souligné que « la présence d’un seul représentant peut, dans certaines circonstances, suffire pour constituer une installation stable si celui-ci agit avec un degré de stabilité suffisant à l’aide des moyens nécessaires à la fourniture des services concrets concernés, dans l’État membre en question. »
La CJUE a retenu que la société Weltimmo exploite plusieurs sites internet d’annonces immobilières concernant des biens situés en Hongrie, rédigés en langue hongroise. Ces éléments démontrent que la société Weltimmo se livre à une activité réelle et effective en Hongrie puisque son activité est tournée vers cet Etat membre.
Elle a également constaté que la société Weltimmo dispose d’un représentant en Hongrie, mentionné sur le registre slovaque des sociétés. Ce représentant a notamment été en charge de négocier sur place le règlement des créances impayées, a servi de relais à la société Weltimmo et l’a représentée au cours de procédures administrative et judiciaire. La Cour observe enfin que la société Weltimmo a ouvert un compte bancaire en Hongrie et utilise une boîte aux lettres sur le territoire de cet Etat membre pour la gestion de ses affaires.
Pour la CJUE, ces différents éléments étant susceptibles de constituer une installation stable permettant d’établir l’existence d’un établissement au sens de l’article 4 de la directive 95/46, elle invite la juridiction nationale hongroise à procéder à cette analyse sur la base de ces critères.
Lire l’arrêt de la CJUE du 1er octobre 2015
Obligation d’information des personnes en cas de transfert de données personnelles entre administrations publiques
Dans un arrêt du 1er octobre 2015, la Cour de Justice de l’Union Européenne (« CJUE ») s’est prononcée sur l’obligation d’information des personnes concernées par un traitement de données, lorsque ces données font l’objet d’un transfert entre deux administrations publiques.
Dans le cadre d’un litige l’opposant à l’organisme roumain de sécurité sociale (« ANAS »), la requérante se plaignait que ses données fiscales avaient été transférées à cette administration par les services fiscaux roumains (« ANAF »). La Cour d’appel roumaine saisie du litige a interrogé la CJUE sur la légalité de ce transfert de données personnelles au regard de la directive 95/46/CE du 24 octobre 1995.
Se fondant sur l’article 6 de la directive, non repris dans le dispositif de la décision, la Cour a estimé que le principe de traitement loyal des données, impliquait d’informer les personnes concernées en cas de transfert de données entre deux administrations publiques.
En vertu des articles 10 et 11 de la directive, les personnes concernées par ce transfert de données entre l’ANAF et l’ANAS auraient dû être informées des catégories de données transférées et de la finalité du transfert. Le fait que l’article 315 de la loi roumaine n°95/2006 autorise ce type de transferts sur la base d’un protocole entre administrations, n’a pas été jugé conforme à l’obligation d’information des personnes concernées découlant des articles 10 et 11 de la directive, cet article en tant que tel ne constituant pas une information des personnes concernées par le traitement.
Ce protocole, pris en application de la loi précitée, a par ailleurs conduit la Cour à rejeter l’application du bénéfice de l’article 13 de la directive, instaurant certaines dérogations au principe d’information des personnes concernées, notamment pour la sauvegarde des intérêts économiques, y compris fiscaux, d’un Etat Membre. La CJUE a estimé que ce protocole, qui ne fait pas l’objet d’une publication officielle et qui ne constitue pas une mesure législative, ne peut dès lors entrer dans le champ d’application de l’article 13. Par conséquent, il ne saurait permettre de déroger à l’obligation d’information des personnes concernées (Cour de Justice de l’Union Européenne, 3ème chambre, arrêt du 1er octobre 2015, Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate et autres).
Lire l’arrêt de la CJUE du 1er octobre 2015
La loi Informatique et libertés est applicable à tout traitement, quelle que soit l’importance des données traitées
La Cour de cassation a jugé, le 8 septembre 2015, qu’un traitement de données personnelles est caractérisé avec une seule donnée personnelle. La Cour retient en effet que la loi Informatique et libertés « n’exige pas le franchissement d’un seuil de données ou de fichiers ».
En l’espèce, il s’agissait de la création d’un répertoire comportant deux notes d’évaluation destinées au directeur de l’Ecole Nationale d’Administration et faisant état d’appréciations personnelles sur un collaborateur de l’école par son supérieur hiérarchique. Le répertoire a involontairement été rendu accessible sur l’Intranet de l’école par la secrétaire.
Le collaborateur s’est constitué partie civile du chef de traitement automatisé de données à caractère personnel sans autorisation. Le juge d’instruction ayant rendu une ordonnance de non-lieu, il a interjeté appel. La Cour d’appel de Colmar a confirmé l’ordonnance de non-lieu.
Confirmant la décision rendue en appel, la Cour de cassation retient qu’au titre de l’article 226-16 du code pénal, le traitement aurait dû faire l’objet de formalités préalables auprès de la CNIL. La Cour confirme ainsi la conception très large d’un traitement de données à caractère personnel au sens de la loi Informatique et libertés précitée (Cour de cassation, chambre criminelle, arrêt du 8 septembre 2015).
Lire l’arrêt de la Cour de cassation du 8 septembre 2015
Simplification des formalités par la CNIL dans le secteur de la santé
La CNIL a adopté deux nouvelles mesures visant à simplifier les formalités dans le domaine de la santé, qui viennent s’inscrire dans son engagement de permettre un accès plus rapide à l’innovation dans ce secteur.
Tout d’abord, la CNIL a adopté une nouvelle autorisation unique relative aux programmes de dépistage organisé du cancer du sein et du cancer colorectal (Autorisation unique n°AU-043 - Délibération n°2015-175 du 11 juin 2015 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité le dépistage organisé du cancer du sein et du cancer colorectal mis en œuvre par les structures de gestion conventionnées). Elle concerne les traitements, automatisés ou non, mis en œuvre par les structures de gestion investies contractuellement par les représentants de l’Etat dans leur région, à savoir :
- la constitution des fichiers des personnes éligibles aux programmes aux fins d’invitation aux opérations de dépistage ;
- le suivi des personnes participant aux programmes ;
- la gestion des contacts avec les médecins traitant, les spécialistes et les laboratoires de lecture.
De plus, la CNIL a adopté une nouvelle méthodologie de référence, « MR-002 » relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (Délibération n° 2015-256 du 16 juillet 2015 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (MR-002)). Afin de guider les acteurs concernés, la CNIL a également publié une grille d’analyse spécifique accompagnant la publication de cette méthodologie.
Lire la Délibération portant sur l'Autorisation unique n°AU-043 du 11 juin 2015
Lire la Délibération portant homologation d'une méthodologie de référence MR-002 du 16 juillet 2015