1. Droit d’opposition préalable, sans nécessité de motiver sa décision (hors prospection commerciale pour laquelle un tel droit d’opposition est prévu à l’article 21 du RGPD).

2. Traitement des données à la volée, en temps réel.

3. Pseudonymisation ou anonymisation « à brefs délais » (notion qui était présente dans la loi Informatique et Libertés et a disparu avec le RGPD).

4. Mise en place de « dashboards » permettant aux personnes concernées de gérer leurs préférences de manière fine et immédiate.

5. Cloisonnement des données entre plusieurs entités, de façon à ce qu’aucune d’entre elles ne puisse accéder à l’ensemble des données.

Il appartient au responsable de traitement de vérifier au cas par cas si l’application de ces mesures permet d’atteindre un équilibre entre son intérêt légitime et les droits et intérêts des personnes concernées : si la pondération apparaît équilibrée, le traitement peut être fondé sur la base légale de l’intérêt légitime. Dans le cas contraire, une autre base légale devra être recherchée, par exemple, le consentement.

En matière de RGPD, le mieux est parfois l’ennemi du bien.

Ainsi, lancer tous vos chantiers de mise en conformité RGPD en même temps (par exemple, quand vous décidez de lever des fonds), sans les hiérarchiser et sans y dédier de ressources en interne, est généralement une mauvaise idée.

La plupart du temps, la documentation reste à l’état de projet et n’est jamais finalisée, faute d’arbitrages en interne, et/ou les règles applicables ne sont pas relayées aux opérationnels, de sorte que le rapport d’audit reste lettre morte.

Alors pour commencer, privilégiez la méthode des petits pas et identifiez 3 chantiers stratégiques.

Par exemple, attaquez-vous :

• Au bandeau cookie de votre site d’e-commerce si en 2022 il prévoit toujours que « Ce site utilise des cookies afin d’améliorer votre expérience et optimiser nos sites et services. J’accepte ».

• A la politique de confidentialité si l’information RGPD de votre site se résume à une clause « Données Personnelles » dans vos CGV.

• A l’archivage de vos données, si vous gardez tout en base active depuis la création de votre société … en 2008.

De manière générale, si vous devez vous assurer de l’identité d’une personne, la simple consultation d’une pièce d’identité suffit.

Une copie de la pièce d’identité peut être conservée uniquement lorsque les conditions cumulatives suivantes sont remplies :

• La loi le prévoit (par exemple, les banques sont tenues de vérifier l'identité de leurs clients dans le cadre de la lutte contre le blanchiment d'argent et de conserver une copie des documents relatifs à cette identité pendant cinq ans à compter de la clôture des comptes ou de la cessation de leurs relations) ou vous justifiez en avoir besoin pour vous pré-constituer une preuve en cas de contentieux.

S’agissant des demandes d’exercice des droits au titre du RGPD, sachez que la demande d’une pièce d’identité ne doit pas être systématique et ne peut intervenir qu’en cas de doute raisonnable.

• La pièce d’identité est conservée au maximum 6 ans.

• La copie de la pièce d’identité est conservée en base d’archivage intermédiaire et non en base active.

• Vous mettez en œuvre des mesures de sécurité renforcées pour minimiser les risques d'usurpation d’identité en cas de fuite de données, par exemple, 𝑣𝑖𝑎 une limitation de la qualité de l’image numérisée (copie en noir et blanc et non en couleur, nombre de pixels limité), l'intégration d'un filigrane comportant la date de collecte et l’identité de l’organisme ou le chiffrement.

 En ce sens, voir le référentiel « gestion commerciale » de la CNIL, p. 6

• Erreur n°1 : ne pas prévoir de document distinct de vos CGV ou CGU.

Le RGPD prévoit que l’information donnée aux personnes concernées doit être aisément accessible.

Il en résulte que les informations en rapport avec la protection des données doivent pouvoir être facilement distinguées de celles qui ne sont pas spécifiquement liées à la vie privée.

Concrètement, cela signifie que l'insertion d'une clause "données personnelles" dans vos CGV ou CGU ne suffit pas : vous devez avoir une politique de confidentialité ou une charte "vie privée" distincte de vos CGV ou CGU.

• Erreur n°2 : publier une information incomplète.

La politique de confidentialité doit être exhaustive et contenir l’ensemble des informations listées aux articles 13 et 14 du RGPD.

En pratique, si vous n’avez pas mis à jour votre politique de confidentialité depuis l’entrée en application du RGPD, vos mentions d’information sont probablement incomplètes, le RGPD ayant ajouté de nouvelles mentions par rapport à celles qui étaient exigées jusqu’en 2018 par la loi Informatique et Libertés.

• Erreur n° 3 : utiliser un jargon juridique ou technique qui rend l’information incompréhensible pour le grand public.

L’information doit être rédigée en des termes « clairs et simples » et être facilement « compréhensible », en application de l’article 12 du RGPD.

En pratique, cela signifie qu’il convient d’éviter les termes juridiques ou techniques, ainsi que les formules vagues et abstraites et privilégier des phrases courtes et simples, avec une mise en page bien structurée grâce à des puces et alinéas clairement hiérarchisés.

Non. Le prononcé d’une sanction par la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure.

En ce sens, voir par exemple la sanction prononcée par la CNIL à l’encontre de la société FREE le 28 décembre 2021 :

« La société s’étonne de ne pas avoir été au préalable mise en demeure de corriger les manquements à l’origine des faits litigieux (…)».

Réponse de la CNIL : « la formation restreinte relève d’abord qu’il ressort des dispositions de l’article 20 de la loi « Informatique et Libertés » modifiée par la loi n° 2018-493 du 20 juin 2018 que l’autorité de contrôle dispose d’un ensemble de mesures correctrices, adaptées selon les caractéristiques propres à chaque cas, qui peuvent être combinées entre elles et être précédées ou non d’une mise en demeure. Les mesures correctrices peuvent être prises directement dans tous les cas.

La formation restreinte relève également que le Conseil constitutionnel (Cons. const., 12 juin 2018, n° 2018-765 DC) n’a pas émis de réserve s’agissant de la possibilité pour le président de la CNIL d’engager une procédure de sanction sans mise en demeure préalable. Enfin, la formation restreinte rappelle que le Conseil d’État a jugé (CE, 9 octobre 2020, Société SERGIC, n° 433311) qu’il "résulte clairement [des dispositions de l’article 20 de la loi du 6 janvier 1978 modifiée], que le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL […] » (§ 25-26).

• Idée reçue n° 1 : il faut nécessairement recueillir le consentement de la personne pour traiter ses données.

Faux - le consentement constitue l’une des six bases légales prévues à l’art. 6 du RGPD.

Le RGPD n’établit pas de hiérarchie entre ces bases légales et il n’existe pas de prééminence générale du consentement sur les autres bases légales.

Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, par exemple, sur l’exécution d’un contrat ou leur intérêt légitime.

Attention, si le RGPD n’établit pas de hiérarchie entre ces bases légales, dans certaines hypothèses, la base légale est prévue par des dispositions spécifiques. C’est, par exemple, le cas pour la prospection commerciale : l’article L. 34-5 du code des postes et des communications électroniques impose l’obligation de recueillir le consentement de la personne concernée préalablement à l’envoi de prospection commerciale par e-mail ou par sms.

• Idée reçue n° 2 : pour recueillir un consentement valable, il suffit de prévoir une case à cocher non-pré-cochée, quel que soit le contexte de la collecte.

Faux – le consentement doit être libre c’est-à-dire que la personne ne doit pas subir de conséquences négatives en cas de refus. Or, dans certains contextes, les personnes sont rarement en mesure de refuser ou de révoquer librement leur consentement.

Par exemple, les traitements effectués dans le cadre des opérations de recrutement peuvent rarement être fondés sur le consentement des candidats, dès lors qu'un refus de leur part pourrait affecter leurs chances d’obtenir un emploi.

• Idée reçue n° 3 : une fois que la personne a donné son consentement, il est possible de collecter tout type de données, que ces données soient ou non nécessaires à la prestation demandée.

Faux – le traitement doit reposer sur une base légale ET être conforme au principe de minimisation des données, c’est-à-dire que le responsable de traitement n’est tenu de collecter que les données strictement nécessaires.

Par exemple, une application météo ne peut pas collecter la géolocalisation exacte d’un utilisateur pour afficher la météo à l’échelle de la ville, et ce même s’il y a consenti.

• Erreur n° 1 : exiger systématiquement un justificatif d’identité.

Une demande systématique d’un justificatif d’identité constitue un manquement à l’article 12 du RGPD, dès lors qu’il n’existe pas de doute raisonnable sur l’identité de la personne présentant la demande.

En ce sens, voir par exemple la sanction prononcée par la CNIL à l’encontre de la société CARREFOUR FRANCE le 18 novembre 2020.

• Erreur n°2 : ne pas répondre à la demande.

Vous devez informer le client des mesures prises à la suite de sa demande, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande.

Ainsi, tenir compte de la demande et supprimer les données du client sans le lui indiquer n’est pas conforme au RGPD.

En ce sens, voir par exemple la sanction prononcée par la CNIL à l’encontre de la société FREE MOBILE le 28 décembre 2021 §74.

Conseil : pour vous assurer que les demandes d’exercice des droits sont bien identifiées comme telles par vos équipes, préférez une adresse électronique dédiée, de type privacy@nomdelasociété.com, à une adresse générique, de type contact@nomdelasociété.com.

• Erreur n° 3 : désactiver le compte du client sans supprimer ses données de la base active.

Suite à une demande d’opposition, vous devez (i) supprimer les données du client ou (ii) les trier et archiver lorsqu’elles sont nécessaires pour répondre à vos obligations légales ou préserver vos droits en justice.

Il n’est pas suffisant de désactiver le compte, de façon à ce que le client ne reçoive plus de messages de prospection, tout en continuant à conserver ses données en base active.

Le 3 février, la CNIL a publié deux référentiels sur la gestion commerciale et la gestion des impayés.

À retenir :

1. Bases légales

Les référentiels identifient les bases légales susceptibles de fonder les traitements les plus courants.

Par exemple :

- programmes de fidélité => exécution du contrat

- service après-vente => exécution du contrat

- statistiques de vente => intérêt légitime

- prospection commerciale par voie électronique (par e-mail ou SMS) en B2C => consentement

- gestion des impayés => exécution du contrat

Bon à savoir: ce sont ces bases légales qui doivent figurer dans votre politique de confidentialité.

2. Durées de conservation

Les données relatives aux clients utilisées à des fins de prospection commerciale peuvent être conservées en base active pendant la relation commerciale, puis pour une durée de 3 ans à compter de la fin de la relation commerciale.

Les données relatives aux prospects utilisées à des fins de prospection commerciale peuvent être conservées en base active pendant un délai de 3 ans à compter de leur collecte ou du dernier contact venant du prospect (par exemple, un clic sur un lien hypertexte dans un courriel).

Ce sont aussi ces durées de conservation qui doivent a priori figurer dans votre politique de confidentialité (et être mises en œuvre 😉)

3. Impayés

Les traitements relatifs à la gestion des impayés impliquent la mise en œuvre de garanties particulières, à savoir :

- une information renforcée des personnes concernées, en plusieurs étapes (au moment de la conclusion du contrat, lorsque l’impayé survient ainsi qu’au moment de l’inscription sur la liste d’exclusion) ;

- une durée limitée de conservation des données relatives à la personne concernée, c’est-à-dire un délai de suppression de 48 h maximum après le constat de régularisation et de 5 ans à compter de la survenance de l’impayé, dans le cas où il n’y a pas de régularisation.

Dans le prolongement d’une récente décision de l’autorité autrichienne, la Cnil vient à son tour de confirmer que les Google Analytics sont non conformes au RGPD en raison d’un encadrement insuffisant des transferts des données personnelles vers les Etats-Unis.

En conséquence, la Cnil met en demeure un gestionnaire de site web et annonce avoir engagé d’autres procédures de mises en demeure contre des gestionnaires de sites utilisant Google Analytics.

Pour autant, le recours à des outils de mesure et d’analyse d’audience reste possible et la Cnil liste sur son site plusieurs solutions conformes.

La CNIL rappelle les règles applicables à la prospection commerciale en publiant des fiches pédagogiques et une infographie sur la transmission des données à des partenaires pour des opérations de prospection B2C.

Les points clefs à retenir :

1. Prospection B2B par e-mail ou SMS

Le consentement du professionnel démarché n’est pas nécessaire et l’intérêt légitime peut être retenu si :

- l’objet de la sollicitation est en lien avec sa profession/spécialité ; et

- au moment de la collecte de l’adresse de messagerie, le professionnel démarché a été informé que son adresse électronique sera utilisée à des fins de prospection par voie électronique et a été mis en mesure de s’y opposer de manière simple et gratuite.

2) Prospection B2C par e-mail ou SMS

La publicité est possible à condition que les personnes aient donné leur consentement avant d’être démarchées.

Le consentement doit être libre, spécifique, éclairé et univoque et requiert, pour être valable, une action positive de la personne concernée (par exemple, une case à cocher dédiée qui ne soit pas pré-cochée). L'acceptation de conditions générales d'utilisation est insuffisante.

Par exception, le consentement n’est pas requis si la personne prospectée est déjà cliente de l'entreprise et si la prospection concerne des produits ou services similaires fournis par la même entreprise.

Dans ce cas, la prospection peut être fondée sur l’intérêt légitime de l’entreprise et la personne doit au moment de la collecte de son adresse de messagerie :

- être informée que son adresse électronique sera utilisée à des fins de prospection ;

- être en mesure de s’opposer à cette utilisation de manière simple et gratuite lorsque les données sont collectées et à tout moment notamment lors de chaque envoi d’un courrier électronique de prospection.

Attention : cette exception ne peut pas être mobilisée lorsqu’aucune vente ou prestation de service n’a été effectuée, y compris lorsque le client a créé un compte en ligne.

3) Transmission à des partenaires

La transmission, payante ou non, de données personnelles de clients ou prospects à des partenaires qui souhaitent les réutiliser à des fins de prospection commerciale par voie électronique (e-mail ou SMS) est soumise au recueil du consentement des personnes concernées.

• Erreur n° 1 : envoyer des courriels de prospection à des personnes ayant créé un compte sur le site mais n’ayant pas procédé à un achat, sans recueillir leur consentement préalable.

• Erreur n° 2 : ne pas définir de durées de conservation des données à caractère personnel de ses clients et prospects ou les conserver pendant des durées plus longues que celles définies, sans que les durées effectives ne soient adaptées au regard des finalités pour lesquelles les données sont traitées.

A titre d'exemple, en l'espèce, la société conservait :

- les données personnelles de clients n’ayant pas passé commande depuis 5 ans;

- les données personnelles de personnes ne s’étant pas connectées à leur compte client depuis 5 ans.

• Erreur n° 3 : ne pas porter à la connaissance de ses clients et prospects l’ensemble des mentions listées à l’article 13 du RGPD (notamment les coordonnées du DPO, les durées de conservation, les bases juridiques des traitements et l'ensemble des droits dont les personnes bénéficient au titre du RGPD).

• Erreur n° 4 : ne pas supprimer les données à caractère personnel (notamment les adresses mail) des clients ayant formulé une demande d'effacement et se contenter de désactiver l’accès à leur compte, de façon à bloquer l’envoi de prospection commerciale.

• Erreur n° 5 : ne pas assurer la sécurité des données personnelles, notamment en n’imposant pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web.

• Erreur n° 6 : déposer automatiquement des cookies, y compris des cookies publicitaires, dès l’arrivée de l'utilisateur sur le site, sans recueil préalable de son consentement.

L’enregistrement d’un échange téléphonique avec un consommateur peut être réalisé de manière conforme au RGPD, sous réserve de respecter les conditions suivantes :

1- L’enregistrement doit poursuivre une finalité légitime (par exemple, apporter la preuve d’un contrat, former le personnel, améliorer la qualité du service client) et être nécessaire pour l’atteindre.

Par exemple, la CNIL considère que l’enregistrement d’une conversation téléphonique n’est pas nécessaire pour établir la preuve de la formation d’un contrat écrit, dès lors que cette preuve peut reposer sur la production de documents imposés par la loi.

2- Respect du principe de minimisation des données : les enregistrements téléphoniques ne peuvent être ni permanents ni systématiques, sauf texte légal. L’enregistrement d’une conversation téléphonique ne peut être déclenché par défaut, de manière automatisée, pour tous les appels téléphoniques et pour l’intégralité des conversations.

3- Transparence : les personnes concernées par l’enregistrement (prospect, client, salarié, prestataire) doivent être informées de façon concise, compréhensible et aisément accessible de la manière dont sont traitées les données les concernant.

4- Sécurité : des mesures de sécurité doivent être prises pour éviter que des personnes non autorisées n’accèdent aux informations qu’elles n’ont pas à connaître. En particulier, il convient de mettre en place une gestion stricte des habilitations et des modes de traçabilité informatique permettant de savoir quel salarié accède aux enregistrements et à quelle date.

5- Durées de conservation : les conversations enregistrées doivent être conservées pendant une durée limitée. Par exemple, la CNIL préconise que les enregistrements des appels sur le lieu de travail soient conservés six mois au maximum, sauf texte imposant une durée spécifique ou justification particulière.

6- Registre : le dispositif d’enregistrement doit être inscrit au registre des activités de traitement.

Pour en savoir plus, liens en premier commentaire vers deux fiches publiées CNIL sur cette thématique.

Le 15 avril 2022, la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité, ayant conduit à la fuite de données médicales de près de 500 000 personnes.

La CNIL retient 3 manquements à l'encontre du sous-traitant :

1- Un manquement à l’obligation de respecter les instructions du responsable de traitement.

La CNIL rappelle que le sous-traitant est tenu de se conformer aux instructions du responsable de traitement.

En l’espèce, la CNIL considère que DEDALUS BIOLOGIE a traité des données au-delà des instructions données par les laboratoires responsables de traitement, en extrayant un volume de données plus important que celui requis dans le cadre d'une migration.

2- Un manquement à l’obligation d’assurer la sécurité des données personnelles.

La CNIL retient des manquements techniques et organisationnels en matière de sécurité à l’encontre de DEDALUS BIOLOGIE, ayant conduit à la violation de données.

Plus particulièrement, la CNIL reproche au sous-traitant : l’absence de procédure spécifique pour les opérations de migration de données, l’absence de chiffrement des données personnelles stockées sur le serveur problématique, l’absence d’effacement automatique des données après migration vers l’autre logiciel, l’absence d’authentification requise depuis internet pour accéder à la zone publique du serveur, l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur, l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.

3- Un manquement à l'obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement.

La formation restreinte souligne que le fait que l’obligation résultant de l’article 28, paragraphe 3, du RGPD incombe tant au responsable de traitement qu’au sous-traitant est sans incidence sur l’existence d’une responsabilité propre du sous-traitant.

En l’espèce, un manquement à l’article 28, paragraphe 3, du RGPD est retenu dès lors que les CGV proposées par DEDALUS BIOLOGIE et ses contrats de maintenance ne contenaient pas les mentions prévues par l’article 28-3 du RGPD.

Note : Les obligations précitées ne sont pas exhaustives. Le RGPD en impose d’autres, les sous-traitants étant notamment tenus d’assister le responsable de traitement (par exemple, pour répondre aux demandes d’exercice des droits de personnes concernées et respecter les obligations prévues aux articles 32 à 36 du RGPD), de l’alerter s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable, de tenir un registre de sous-traitant, etc.