Blog Données personnelles

Brèves de juin

  • Manquement d’Optical Center à son obligation d’assurer la sécurité et la confidentialité des données

Le 7 mai 2018, la formation restreinte de la CNIL a prononcé une sanction de 250 000 euros à l’égard de la société Optical Center pour le manquement à l’obligation d’assurer la sécurité des données clients de son site internet.

La formation restreinte a pu constater la possibilité d’accéder, depuis n’importe quel navigateur, aux factures et bons de commandes des clients ayant effectué une commande sur le site internet de la société.

La divulgation de ces données, sans vérification de l’identité du client, constitue une faille de sécurité et caractérise le manquement d’Optical Center à son obligation de sécurité prévue à l’article 32 du Règlement européen sur la protection des données personnelles.

Cet incident de sécurité a permis à des tiers non autorisés d’accéder à des données relatives aux corrections ophtalmologiques des patients, ainsi qu’au numéro de sécurité sociale des clients. Ces données étant des données sensibles au sens de la loi de protection des données personnelles.

Compte tenu de la sensibilité et du volume de données divulguées ainsi que de l’existence d’une première sanction en 2015 concernant déjà un défaut de sécurité, la CNIL a prononcé une sanction de 250 000 euros. Cette sanction illustre un durcissement du montant des amendes prononcées par la CNIL.

En outre, la formation restreinte a décidé de rendre publique la sanction infligée à Optical Center afin de sensibiliser les internautes aux risques pesant sur la sécurité de leurs données. Ce rôle de sensibilisation renvoie directement à l’article 57 b) du RGPD qui prévoit au titre des missions de l’autorité de contrôle que celle-ci « favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. » La publication de cette décision participe de la sensibilisation du public en mettant en avant les enjeux liés à la sécurité des données.

  • La conformité au RGPD : des nouveaux outils développés par type et secteur d’activités.

L’article 57 du RGPD définit les missions de l’autorité de contrôle. Parmi ces missions, la CNIL doit notamment encourager «  la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement ».

A ce titre, mettant en œuvre ce rôle de sensibilisation des acteurs, la CNIL a publié sur son site de nombreux outils de référence permettant d’accompagner les acteurs dans leur mise en conformité en adoptant soit une approche sectorielle soit une approche thématique.

Ainsi, la CNIL propose notamment un nouveau modèle de registre des activités de traitement simplifié, facilitant la tenue et la mise à jour du registre des activités de traitement conformément à l’article 30 du RGPD. La CNIL propose également une nouvelle version de son « Outil PIA », logiciel open source accessible sur son site, afin d’assister les organismes à conduire une analyse d’impact lorsque celle-ci est obligatoire conformément à l’article 37 du RGPD. Enfin, la CNIL a publié récemment des fiches pratiques sur la sécurité en application de l’article 32 du RGPD.

En développant une approche sectorielle, la CNIL, en association avec la Bpifrance, a mis à disposition des PME un guide pratique de sensibilisation au RGPD. Ce guide a pour vocation d’aider les plus petites structures à se conformer aux obligations prévues par le Règlement tout en prenant en compte la taille et les moyens de tels organismes. La CNIL a également publié un guide en partenariat avec le Conseil national de l’Ordre des médecins (CNOM) à l’attention des médecins. Ce guide permet aux médecins de comprendre leurs obligations dans le traitement de données personnelles au quotidien. Le guide est composé de fiches pratiques qui reprennent les activités des médecins dans leur pratique au quotidien, qu’il s’agisse de la prise de rendez-vous, de la messagerie électronique, du dossier patient ou encore de la télémédecine.

Le Conseil national de l’Ordre des pharmaciens (CNOP) a également publié sur son site une lettre spéciale sur le RGPD adressée à l’ensemble des pharmaciens. Cette lettre s’accompagne de la création d’une rubrique consacrée à la protection des données personnelles et dans laquelle les pharmaciens peuvent se renseigner sur les obligations qui s’appliquent à chaque spécialité (titulaire d’officine, pharmacien biologiste etc.).

Enfin, un guide en partenariat avec la Société française d’informatique de laboratoire (SFIL) est également en cours de validation afin d’adopter des préconisations propres à la mise en œuvre de ces principes dans la pratique des laboratoires.

D’autres acteurs jouent également ce rôle d’accompagnement en développent des outils sectoriels. Le Conseil national des barreaux (CNB) a aussi publié un guide pratique « Les avocats et le Règlement général sur la protection des données (RGPD) » afin d’accompagner les cabinets d’avocats dans leur mise en conformité.

  • Le groupe de travail parlementaire sur les droits et libertés à l’ère numérique présente un projet de Charte du Numérique
    Créé en mai 2018, ce groupe de travail a adressé le jeudi 21 juin 2018, le résultat de ses délibérations autour de trois propositions de texte visant :
  • « - à intégrer dans le préambule de la Constitution la mention d’une Charte du numérique, à l’instar de la Charte de l’environnement adoptée en 2004 ;
  • à reconnaître le rôle du numérique dans l’expression démocratique
  • et à élargir expressément le domaine de la loi à certains enjeux liés au numérique en complétant l’article 34 de la Constitution ».

Le projet de Charte vise à garantir des principes tels que la neutralité du net, l’accès aux documents publics ou la protection des données personnelles.

Le communiqué de presse de la présidence de l’Assemblée précise qu’« Il appartient désormais aux commissions compétentes de chaque Assemblée et, plus largement, au Parlement, d’enrichir cette réflexion, en lien avec le Gouvernement » .