Health Data Hub : le Conseil d’Etat demande à Microsoft des garanties supplémentaires

/dans , /par

Health Data Hub est une plateforme permettant de regrouper les données de santé françaises pour favoriser la recherche médicale dont l’hébergement a été confié à Microsoft.

Plusieurs associations et professionnels s’inquiétant du potentiel transfert des données de santé par Microsoft vers les Etats-Unis à la suite de l’arrêt Schrems II ont saisi le Conseil d’Etat d’un recours demandant la suspension de la plateforme.

Pour rappel, dans son arrêt Schrems II du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé l’accord de « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis aux motifs que la législation américaine ne permet pas de garantir une protection des données personnelles équivalente à celle du RGPD.

La CNIL, invitée à produire ses observations, a regretté que l’hébergeur choisi soit soumis au droit américain et puisse donc être tenu de communiquer des données aux agences de renseignement gouvernementales américaines et a donc demandé le remplacement de Microsoft par un autre prestataire.

Dans son ordonnance du 13 octobre 2020, le Conseil d’État a reconnu l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis malgré les garanties importantes déjà apportées. Compte tenu de l’utilité de Health Data Hub pour la gestion de la crise sanitaire et de la volonté exprimée par le Gouvernement de la transférer sur des plateformes françaises ou européennes, il ne prononce pas l’interruption immédiate de la plateforme.

Toutefois, dans l’attente de ce changement de prestataire, le Conseil d’Etat :

  • demande le renforcement des clauses du contrat avec Microsoft et la mise en place de mesures additionnelles de sécurité pour renforcer la protection des données hébergées sur le Health Data Hub ;
  • désigne la CNIL pour
    • instruire les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire et veiller à ce que le recours à la plateforme soit techniquement nécessaire,
    • conseiller les autorités publiques sur les garanties appropriées.

Plus d’informations ici.

COVID-19 et les cahiers de rappel des restaurants: les recommandations de la CNIL

/dans , /par

La CNIL fournit ses recommandations en matière de tenue d’un « cahier de rappel » par les établissements de restauration, conséquence directe du renforcement des mesures sanitaires dans les zones d’alerte maximale.

1. Données collectées

La collecte doit être limitée aux seules données nécessaires, sans qu’aucune pièce justificative ne puisse être exigée, à savoir :

  • l’identité de la personne (nom/prénom)
  • un moyen de contact (numéro de téléphone)
  • la date et l’heure d’arrivée de la personne

2. Finalité du traitement

Le traitement mis en œuvre doit avoir pour seule finalité la transmission des informations aux autorités sanitaires (CPAM, ARS…) pour faciliter la recherche des cas contacts le cas échéant et ne peut servir à des fins commerciales.  

3. Durée de conservation des données

La durée de conservation des données est fixée à 14 jours conformément aux préconisations du ministère des Solidarités et de la Santé. 

4. Sécurité des données

La sécurité des données passe notamment par leur confidentialité : seules les personnes devant en avoir connaissance doivent pouvoir y accéder (ex : le gérant qui transmet les données aux autorités sanitaires, le serveur qui recueille les données).

La CNIL distingue deux cas de figure :

  • le formulaire papier, qui doit être individuel ou par tablée s’il est mis à disposition du client ou bien doit faire l’objet d’une collecte par le restaurateur lui-même, afin qu’aucun client ne puisse avoir accès aux données des autres. Ce « cahier de rappel » papier doit ensuite être conservé dans un lieu sécurisé.
  • le formulaire électronique, dont le stockage doit être protégé par un mot de passe fort (comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux) et sur un matériel entreposé dans un lieu sécurisé.

5. Information des personnes concernées

Comme pour tout traitement de données personnes, les personnes concernées doivent bénéficier d’une information exhaustive et transparente sur le traitement au moment de la collecte de ses données en intégrant une mention d’information :

  • soit sur le formulaire papier ou électronique
  • soit sur un panneau d’affichage dans l’établissement

Cette mention d’information doit notamment comprendre :

  • l’identité et les coordonnées de l’établissement ;
  • la finalité de la collecte des données (transmission des informations aux autorités sanitaires pour faciliter le traçage des cas contacts) ;
  • la durée de conservation des données (14 jours) ;
  • les droits dont dispose la personne concernée (accès ou rectification des données, effacement sous conditions…) ;
  • les destinataires des données, notamment les autorités sanitaires.

Pour aider les établissements soumis à cette obligation, un modèle de mention d’information est mis à disposition par la CNIL sur son site.

La CNIL prend également en compte les entreprises non soumises au protocole sanitaire qui voudraient néanmoins mettre en place un « cahier de rappel » en fournissant un modèle distinct de mention d’information et en fixant des conditions spécifiques :

  • qu’il soit nécessaire c’est-à-dire qu’il réponde à un besoin identifié ;
  • qu’il soit soumis au consentement de chaque personne.

Pour rappel, pour être valide, le consentement doit être libre, ce qui signifie, rappelle la CNIL que le responsable de traitement ne peut pas refuser l’accès à son établissement si la personne refuse de communiquer ses données.

Invalidation du Privacy Shield : la réponse de la Chambre de commerce américaine

/dans , /par

La Chambre de commerce américaine a publié fin septembre un livre blanc sur les transferts de données personnelles entre l’UE et les Etats-Unis postérieurs à l’arrêt Schrems II invalidant le Privacy Shield.

Ce livre blanc a pour objectif de fournir aux entreprises européennes des informations sur la protection des données personnelles par le droit américain pour leur permettre de mener à bien l’analyse au cas par cas de la validité des transferts de données vers les Etats-Unis, telle que demandée par la Cour de justice dans son arrêt.

Ainsi, la Chambre de commerce américaine rappelle que :

  • la plupart des entreprises américaines ne sont pas concernées par les demandes de communication de données en provenance des agences de renseignement gouvernementales qui n’ont aucun intérêt pour les données commerciales ordinaires comme les données relatives aux employés, aux clients, ou aux ventes ;
  • Schrems II ne conclut pas que la protection de la vie privée par la loi américaine n’est pas conforme au RGPD mais que les informations connues par la Commission européenne en 2016 sur ce pan de la législation américaine n’étaient pas suffisantes pour valider le Privacy Shield.

En conséquence, la Chambre de commerce recommande aux entreprises européennes ayant recours aux clauses contractuelles types de prendre en compte toutes les informations disponibles à ce jour sur la législation américaine protégeant les données à caractère personnel. A ce titre, elle détaille les informations qu’elle juge pertinente sur le sujet concernant les deux lois américaines citées par la Cour de justice dans son arrêt : le Foreign Intelligence Surveillance Act « FISA » 702 et l’Executive Order 12333.

En conclusion, la Chambre de commerce précise qu’il existe de nombreuses autres lois qui permettent d’assurer un accès aux données proportionné, sous contrôle et garantissant des recours possibles en cas de violation des droits des personnes.

Ce livre blanc étant issu de la Chambre de commerce américaine, sa position est nécessairement orientée mais il permet néanmoins aux entreprises européennes traitant des données personnelles faisant l’objet de transferts vers les Etats-Unis d’avoir des débuts de réponse, dans l’attente d’une position définitive des autorités de contrôle et du CEPD.

RGPD : Sanction de 35 millions d’euros à l’encontre de H&M

/dans , /par

Le 1er octobre dernier, l’autorité de contrôle d’Hambourg a rendu publique une sanction financière prononcée à l’encontre d’une filiale allemande du groupe H&M d’un montant historique de plus de 35 millions d’euros pour une violation grave du RGPD.

En effet, depuis 2014, cette filiale du groupe collectait des données extrêmement détaillées sur la vie privée de ses employés, notamment sur les raisons de leurs absences qu’elles concernent des problématiques familiales, leurs croyances religieuses ou un arrêt maladie.  Une partie de ces données était ensuite stockée sous un format numérique, accessible à plus de 50 managers et utilisée pour prendre des décisions concernant leur évolution ou leurs conditions de travail au sein de l’entreprise.

L’autorité de contrôle a découvert ces agissements en octobre 2019 à la suite d’une erreur de configuration qui a rendu les données litigieuses accessibles à l’ensemble de l’entreprise.

H&M s’est empressée de prendre diverses mesures correctrices pour remédier à la situation et a présenté ses excuses aux employés concernés avant de leur proposer une compensation financière. L’autorité de contrôle a encouragé cette attitude mais a néanmoins décrété que le montant de l’amende était adapté à la gravité du manquement constaté et avait également pour but de dissuader les entreprises de porter atteinte à la vie privée de leurs employés.

Pour prendre connaissance de la décision, cliquez ici.

Durcissement des règles applicables aux Cookies et autres traceurs

/dans , /par

La CNIL a publié ce 1er octobre 2020 ses lignes directrices modificatives et sa recommandation concernant les cookies et autres traceurs.

En effet, le 19 juin dernier, le Conseil d’Etat avait annulé une partie des lignes directrices de la CNIL en estimant que l’interdiction générale relative à la pratique des « cookie walls » était trop contraignante et allait au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Le 17 septembre 2020, la CNIL a donc adopté des lignes directrices modificatives ainsi qu’une version définitive de la recommandation pratique sur le sujet. Cette évolution des règles applicables a pour but de donner aux internautes un  meilleur contrôle sur les cookies et traceurs en ligne via l’affirmation de certains principes plus contraignants :

  • un nécessaire acte positif de l’utilisateur pour recueillir son consentement
  • des modalités de refus des cookies et traceurs qui soient aussi simples que les modalités d’acceptation
  • un renforcement de l’information de l’utilisateur

S’agissant des « cookie walls », la CNIL a estimé, dans le prolongement de ses premières lignes directrices, que  « le  fait  de  subordonner  la  fourniture  d’un  service  ou  l’accès  à  un  site  web  à l’acceptation  d’opérations  d’écriture  ou  de  lecture  sur  le  terminal  de  l’utilisateur (pratique dite de «cookie wall») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ».

La CNIL fixe le délai de mise en conformité aux nouvelles règles à six mois, soit au plus tard fin mars 2021. Pendant cette période, la CNIL accompagnera les acteurs concernés et prendra en compte les difficultés qu’ils rencontrent mais réaffirme qu’elle n’hésitera pas à poursuivre certains manquements « notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée ».