Actualités relatives à la vie privée, aux données à caractère personnel, à la loi informatique et liberté
Cookies – un site sanctionné
Le Conseil d’Etat, dans une décision relative aux cookies en date du 6 juin 2018, confirme la sanction pécuniaire de 25 000 euros prononcée par la CNIL en 2017 contre un éditeur de site internet.
Ce qu’il faut retenir
- Un cookie publicitaire, bien qu’il soit nécessaire à la viabilité économique du site internet, est toujours soumis au consentement préalable de l’internaute qui peut à tout moment refuser son dépôt ;
- Le paramétrage des navigateurs proposé aux internautes ne constitue pas un mode valable d’opposition au dépôt de cookies ;
- Les éditeurs qui autorisent le dépôt et l’utilisation de cookies par des tiers à l’occasion de la visite de leur site doivent être considérés comme responsables du traitement des cookies ;
- A ce titre, tout éditeur de site a l’obligation de s’assurer que ses partenaires tiers qui déposent des cookies via son site sont conformes à la réglementation applicable en matière de cookies et, le cas échéant, sont tenus d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
Ce qu’il faut vérifier sur son site internet
Il appartient donc à tout éditeur de site internet de vérifier que son site prévoit :
- Un bandeau cookies ;
- L’absence de dépôt de cookies avant le recueil du consentement ;
- La possibilité de s’opposer au dépôt des cookies publicitaires ;
- L’information des personnes et notamment la liste des cookies, leur finalité, les moyens d’opposition ;
- Le respect des durées de conservation (13 mois maximum);
Cette affaire a été jugée sous l’empire de la Loi informatique et libertés telle qu’applicable au moment des faits, en 2016. Aujourd’hui, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) et la réforme de la Loi informatique et libertés, un tel manquement pourrait être sanctionné d’une façon nettement plus importante, les sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires.
Cette décision est également intéressante car elle est à mettre en perspective avec le projet de règlement européen « vie privée et communications électroniques », dit « ePrivacy », actuellement en discussion à Bruxelles, qui prévoit justement la gestion des cookies et leur paramétrage par défaut via les interfaces de navigation.
Références :
- CNIL, délibération n° SAN-2017-007 du 18 mai 2017
- Conseil d’État, 10ème – 9ème ch. réunies, décision du 6 juin 2018
- CNIL – Cookies : comment mettre mon site web en conformité ?
- CNIL – Site web, cookies et autres traceurs
- Article 32 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
- Article 6 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Un nouvel outil de conformité au RGPD : les certifications
Avec l’entrée en application prochaine du règlement européen à la protection des données (RGPD), la CNIL met en place un nouvel outil de conformité, la certification, et met progressivement fin à son activité de labellisation.
Conformément à l’article 42 du RGPD, les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC). La CNIL aura pour mission d’élaborer ou d’approuver les référentiels de certification qui seront utilisés par les certificateurs, ainsi que, le cas échéant, les référentiels d’agrément.
Que deviennent les labels actuels à l’entrée en application du règlement ?
- La CNIL prévoit de ne plus délivrer de nouveau label après le 25 mai 2018.
- Les labels émis avant l’entrée en application du règlement restent valables jusqu’à leur date d’échéance, mais n’emportent pas tous de conséquence sur le plan de la conformité RGPD.
- Seuls les labels Gouvernance et Formation dont les référentiels ont été mis à jour pour tenir compte du RGPD, pourront offrir à leurs bénéficiaires un tel argument de conformité.
Quand sera-t-il possible de se faire certifier ?
- Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la CNIL et publiés sur son site. Il appartiendra ensuite aux candidats de se rapprocher des certificateurs, qui procèderont à l’instruction de leurs demandes.
- Les travaux sur les premiers référentiels ont déjà débuté. Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration : des organismes de certification agréés par la CNIL délivreront des certifications de DPO, sur la base d’un référentiel rédigé par la CNIL. Parallèlement, des travaux sont menés en matière de certification de formation RGPD avec le COFRAC.
Quels sont les avantages de la certification ?
La certification ne limite pas la responsabilité des responsables de traitement ou des sous-traitants en cas de violation du Règlement et n’interdit pas un contrôle ou une sanction de la CNIL. Toutefois, l’application de mécanismes de certification permet aux responsables de traitement de démontrer le respect de leurs obligations et de limiter, le cas échéant, les amendes administratives susceptibles d’être prononcées.
Combien de temps une certification est elle valable ?
La certification sera délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et pourra être renouvelée tant que les exigences applicables continueront d’être satisfaites.
Auteur: Damien Billerit, élève-avocat
Références :
- Article 42 du RGPD
- Article de la CNIL du 28.02.2018
Check-list RGPD
Les guides et check-list RGPD
Dans le cadre de l’application du RGPD en mai 2018, les guides et check-list fleurissent. Chaque organisation doit élaborer son propre référentiel en fonction de son activité et de ses risques; dans ce cadre, il est possible de s’aider des guides suivants:
- Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, CNIL 2018
- FICHE 1 : Sachez que faire quand votre entreprise communique et/ou vend en ligne, CNIL 2018
- FICHE 2 : Améliorez et maîtrisez votre relation client, CNIL 2018
- FICHE 3 : Protégez les données de vos collaborateurs, CNIL 2018
- Règlement européen : se préparer en 6 étapes, CNIL 2018
- La sécurité des données personnelles, CNIL 2018
- Les clés d’une application réussie du GDRP, AFAI, CIGREF et TECH’IN, 2017
- Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now, ICO, 2017
G29
Les lignes directrices du G29
Le G29 représente le groupe des « CNIL européennes ».
L’origine du nom provient de l’article 29 de la directive du 24 octobre 1995 qui institue un groupe ayant un « caractère consultatif et indépendant ».
Le G29 a publié plusieurs lignes directrices destinées à clarifier certains points du RGPD, tels que:
- Le délégué à la protection des données (5.04.17)
- La désignation d’une autorité de contrôle chef de file (5.04.17)
- La portabilité des données (5.04.17)
- Les sanctions administratives (3.10.17)
- Les analyses d’impact (4.10.17)
- Le consentement (28.11.17)
- La notification de violation de données (06.02.18)
Références : Guidelines G29 ; Lignes directrices et G29 (CNIL).