CONTACT

Conformité RGPD – Lettre d’actualité numéro 9

02 novembre 2018 | Derriennic Associés |

Madame, Monsieur,

L’actualité RGPD a été très active ces semaines passées. Au programme des actualités récentes :

  • Une délibération de la CNIL portant sur les traitements de données à caractère personnel liées aux cartes de paiement ;
  • la publication, par la CNIL, d’un document portant sur l’application du RGPD à la Blockchain ;
  • la sanction de l’OPH de Rennes pour détournement de finalité ;
  • Une délibération de la CNIL recensant les opérations de traitement nécessitant de réaliser une analyse d’impact ;
  • la mise en demeure de deux sociétés collectant des données de géolocalisation pour absence de recueil du consentement.

Tous ces évènements vous seront présentés dans la lettre de ce mois-ci.

Nous vous en souhaitons une bonne lecture,

La CNIL publie la liste des opérations de traitements pour lesquelles une analyse d’impact est requise

La CNIL a rendu une délibération N°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opération de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

L’analyse d’impact est une notion introduite par le RGPD, dont l’article 35 en impose la réalisation dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

Le Comité Européen de la Protection des Données (CEPD, anciennement G29) a dressé, au sein de ses lignes directrices d’avril 2017 sur le sujet, une liste de 10 critères permettant de déterminer quand une telle analyse serait requise. En présence de 2 de ces 10 critères, le traitement devrait nécessiter que soit réalisée une analyse d’impact.

Le CEPD a cependant d’ores et déjà affirmé que certains traitements réunissant 2 des 10 critères pourraient, dans certains cas, être dispensés d’analyse d’impact. Il conviendra, dès lors, dans une telle situation, que le responsable du traitement soit en mesure d’expliquer et de documenter sa décision de ne pas procéder à une analyse d’impact (dont la réalisation doit, en cas de doute, avoir lieu).

La CNIL, dans sa délibération du 11 octobre 2018, a dressé une liste des opérations de traitement soumis à la réalisation de cette analyse. Se basant sur les lignes directrices du CEPD, elle précise, pour chaque opération de traitement, quels sont les critères réunis.

Ainsi, la liste des opérations de traitement nécessitant de réaliser une analyse d’impact relative à la protection des données est, selon la CNIL, la suivante :

  • traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
  • traitements portant sur des données génétiques de personnes dites «vulnérables» (patients, employés, enfants, etc.) ;
  • traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés;
  • traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle;
  • traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
  • traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
  • traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
  • traitements de profilage faisant appel à des données provenant de sources externes ;
  • traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites «vulnérables» (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
  • Instruction des demandes et gestion des logements sociaux ;
  • traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • traitements de données de localisation à large échelle.

La CNIL précise dans cette délibération que cette liste a un caractère non-exhaustif. Conformément à l’article 35.1 du RGPD, une analyse d’impact devra être réalisée dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Cette délibération ne dispense donc pas les responsables de traitement de vérifier si leurs traitements, à supposer qu’ils ne figurent pas dans cette liste, nécessitent de conduire une telle analyse.

Le RGPD face à la Blockchain

Au mois de septembre 2018, la CNIL a publié un document intitulé « Premiers éléments d’analyse de la CNIL – Blockchain », dans lequel elle liste les solutions pour aboutir à un usage responsable en présence de données personnelles.

La CNIL indique, dans cette publication, que la Blockchain est une technologie au potentiel de développement fort qui suscite de nombreuses questions, y compris celle de sa compatibilité au RGPD.

La Blockchain pose notamment la question de savoir quelle est la personne endossant le rôle de responsable du traitement. La CNIL distingue 3 types d’acteurs dans une Blockchain : les accédants (qui ont un droit de lecture et d’obtention d’une copie de la chaîne), les participants (qui ont un droit d’écriture), et les mineurs (qui valident les transactions et créent les blocks en appliquant les règles de la Blockhain).

Selon la CNIL, les participants à la Blockchain, qui ont un droit d’écriture sur la chaîne et qui décident de soumettre une donnée à la validation des mineurs, peuvent être considérés comme responsables du traitement. Plus précisément, la CNIL serait d’avis que le participant soit responsable du traitement lorsqu’il est (i) une personne morale, ou (ii) lorsqu’il est une personne physique et que le traitement de données à caractère personnel est en lien avec une activité professionnelle ou commerciale.

Selon la CNIL, les mineurs, qui se limitent à valider les transactions que lui soumettent les participants, ne déterminent pas les finalités et les moyens à mettre en œuvre, et ne sont donc pas responsables du traitement. La CNIL étudie toujours la question de savoir s’ils peuvent être qualifiés de sous-traitants.

En cas de présence de plusieurs co-responsables du traitement, la CNIL recommande de prendre une décision commune quant à la responsabilité du traitement, soit en créant une personne morale et en la désignant comme responsable du traitement (un GIE ou une association par exemple), soit en désignant le participant qui prend les décisions pour le groupe en tant que responsable du traitement.

De plus, en vertu du principe de Privacy by Design (article 25 du RGPD), le responsable du traitement devrait réfléchir, en amont, à la pertinence du choix de la Blockchain pour la mise en œuvre du traitement. Si la Blockchain n’est pas la technologie la mieux adaptée pour le traitement, il conviendrait de privilégier une autre solution.

En cas de participants (mineurs ou non) situés en dehors de l’UE, se pose la question du respect des obligations en matière de transferts hors UE, ce qui imposerait de recourir aux clauses contractuelles types, BCR, codes de conduites ou mécanismes de certification.

La Blockchain pose problème s’agissant de la durée de conservation, car les données qui y sont inscrites ne peuvent être techniquement modifiées ou supprimées.

Ce problème pourrait être contourné en traitant les données en dehors de la Blockchain ou, que soit stocké sur la Blockchain (i) un engagement cryptographique, (ii) une empreinte de la donnée obtenue par une fonction de hachage à clé, ou (iii) un chiffré de la donnée.

La CNIL admet, toutefois, que certaines données puissent être enregistrées sur la Blockchain en clair, lorsqu’il existe une obligation légale de rendre publiques et accessibles, sans limitation de durée, certaines informations (sous réserve de conduire une analyse d’impact permettant de conclure que les risques sont minimes pour les personnes).

Pour les mêmes raisons que s’agissant de la durée de conservation, l’exercice des droits à l’effacement et à la rectification pourront poser problème, compte tenu des difficultés que présente la Blockchain quant à la suppression des données. Sous réserve d’une évaluation approfondie, la CNIL mentionne la possibilité de supprimer les données stockées en dehors de la Blockchain et les éléments permettant la vérification, ce qui permet de couper l’accessibilité à la preuve enregistrée dans la Blockchain (les données seraient, toutefois, toujours présentes dans la Blockchain).

La CNIL évoque enfin également, dans ce document, les mesures de sécurité à mettre en place en cas de recours à cette technologie.

Détournement de finalité : l’OPH de Rennes sanctionné pour l’utilisation des données des résidents à des fins de communication politique

Par une Délibération en date du 24 juillet 2018, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de de l’Office Public de l’Habitat de Rennes Métropole – ARCHIPEL HABITAT (OPH Rennes).

Suite à la réception d’une plainte en octobre 2017, dans laquelle il était reproché à l’OPH de Rennes d’avoir envoyé un courrier à ses locataires concernant le projet de réforme relative au montant des APL, la CNIL a diligenté une enquête pour détournement de finalité.

L’OPH de Rennes a contesté cette qualification, au motif que son courrier aurait eu pour finalité d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL et leur impact sur les ressources attribuées à l’OPH, cette information s’inscrivant, selon lui, dans le cadre de ses activités et des missions qu’il poursuivait.

Après avoir rappelé que l’OPH ne pouvait utiliser les données à caractère personnel des locataires pour une finalité autre que les finalités initiales, et notamment celles mentionnées dans les formalités déclaratives effectuées auprès de la CNIL, cette dernière a estimé en l’espèce que le courrier envoyé par l’OPH ne pouvait se rattacher à ces finalités, « et notamment à celle de mise en œuvre d’une politique publique concernant l’habitat à caractère social, dès lors que l’objet de ce courrier n’était pas de traiter des données à caractère personnel des locataires afin d’appliquer une politique publique, mais bien de prendre une position critique sur la baisse à venir des APL ».

La CNIL relève en conséquence un manquement à l’article 6, 2° de la Loi n°78-17 du 6 janvier 1978, qui impose que les finalités d’un traitement soient déterminées, explicites et légitimes. Elle a donc prononcé une sanction pécuniaire de 30 000 euros et a décidé de rendre publique sa décision.

Délibération de la CNIL sur le traitement des données relatives à la carte de paiement

La CNIL a rendu une délibération n°2018-303 de 6 septembre 2018, portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n°2017-222 du 20 juillet 2017.

La CNIL a estimé nécessaire d’actualiser sa recommandation précédente, de 2017, sur le sujet des données relatives à la carte de paiement, « au regard de l’évolution des pratiques du commerce en ligne, ainsi que de celle du cadre légal et technologique ». Ainsi, cette nouvelle recommandation abroge celle de 2017.

Cette nouvelle recommandation s’applique au traitement de données relatives à la carte de paiement, lors de toute vente d’un bien ou fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs technique(s) de communication à distance.

Sur le point de savoir si ce type de traitement nécessite une analyse d’impact, la CNIL indique que les données financières, dont les données relatives aux cartes de paiement, doivent être qualifiées de « données à caractère hautement personnel », compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer. Ainsi, selon l’« ampleur du traitement », la conduite d’une analyse d’impact pourrait être nécessaire. Il s’agit là d’une nouveauté, par rapport à la délibération du 20 juillet 2017, induite par l’entrée en application du RGPD.

Dans cette délibération, la CNIL indique les bases légales qui pourraient être utilisées par les responsables du traitement :

  • s’agissant d’un paiement unique ou d’un abonnement impliquant des paiements multiples, de même que s’agissant de traitement de données bancaires dans le cadre de la souscription d’une solution de paiement dédiée à la vente à distance par des prestataires de services de paiement, la base légale sera généralement l’exécution contractuelle ;
  • s’agissant de la conservation de numéro de carte bancaire afin de faciliter les éventuels paiements ultérieurs, la CNIL indique qu’il est nécessaire de recueillir un consentement libre, spécifique, éclairé et univoque ;
  • s’agissant de la souscription à un abonnement qui donne accès à des prestations additionnelles à celles accessibles à tout client (ex : livraison rapide, accès à des ventes privées ou à des contenus complémentaires, etc.), celle-ci peut traduire l’intention du client de s’inscrire dans une relation commerciale régulière. De ce fait, le traitement pourrait être basé sur l’intérêt légitime du responsable du traitement, la personne pouvant s’attendre à ce que ses données bancaires soient conservées pour simplifier ses achats ultérieurs. Il s’agit en tout état de cause d’un cas de figure nouvellement envisagé par la CNIL, qui n’était pas présent au sein de sa délibération précédente.
  • De même, la conservation des données au-delà de la réalisation d’une transaction, à des fins de lutte contre la fraude à la carte de paiement, ne rentre pas dans le cadre du contrat mais relève en réalité de l’intérêt légitime du responsable du traitement.

S’agissant des données collectées, la CNIL admet la collecte du numéro de carte, de sa date d’expiration ainsi que du cryptogramme. L’identité du titulaire ne devrait pas être collectée, sauf si cela est justifié notamment par la lutte contre le blanchiment. La photocopie ou la copie numérique de la carte ne devrait jamais être demandée.

Pour ce qui est de la durée de conservation, la CNIL rappelle que :

  • s’agissant de paiements uniques, la durée de conservation des données doit correspondre au délai  nécessaire à la réalisation de la transaction ;
  • s’agissant des abonnements impliquant des paiements échelonnés, la conservation est justifiée jusqu’à la dernier échéance de paiement, ou jusqu’à la résiliation de l’abonnement si celui-ci prévoit une tacite reconduction ;
  • s’agissant des commerçants en ligne, ceux-ci peuvent conserver le numéro de la carte et la date de validité dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement, pendant 13 mois (15 mois s’agissant des cartes à débit différé) ;
  • s’agissant d’une collecte par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, la conservation est possible jusqu’à la clôture du compte. Il conviendra ensuite d’archiver les données.

La CNIL prohibe toujours la conservation du cryptogramme après la transaction, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.