Health Data Hub : le Conseil d’Etat demande à Microsoft des garanties supplémentaires

Health Data Hub est une plateforme permettant de regrouper les données de santé françaises pour favoriser la recherche médicale dont l’hébergement a été confié à Microsoft.

Plusieurs associations et professionnels s’inquiétant du potentiel transfert des données de santé par Microsoft vers les Etats-Unis à la suite de l’arrêt Schrems II ont saisi le Conseil d’Etat d’un recours demandant la suspension de la plateforme.

Pour rappel, dans son arrêt Schrems II du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé l’accord de « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis aux motifs que la législation américaine ne permet pas de garantir une protection des données personnelles équivalente à celle du RGPD.

La CNIL, invitée à produire ses observations, a regretté que l’hébergeur choisi soit soumis au droit américain et puisse donc être tenu de communiquer des données aux agences de renseignement gouvernementales américaines et a donc demandé le remplacement de Microsoft par un autre prestataire.

Dans son ordonnance du 13 octobre 2020, le Conseil d’État a reconnu l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis malgré les garanties importantes déjà apportées. Compte tenu de l’utilité de Health Data Hub pour la gestion de la crise sanitaire et de la volonté exprimée par le Gouvernement de la transférer sur des plateformes françaises ou européennes, il ne prononce pas l’interruption immédiate de la plateforme.

Toutefois, dans l’attente de ce changement de prestataire, le Conseil d’Etat :

  • demande le renforcement des clauses du contrat avec Microsoft et la mise en place de mesures additionnelles de sécurité pour renforcer la protection des données hébergées sur le Health Data Hub ;
  • désigne la CNIL pour
    • instruire les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire et veiller à ce que le recours à la plateforme soit techniquement nécessaire,
    • conseiller les autorités publiques sur les garanties appropriées.

Plus d’informations ici.

COVID-19 et les cahiers de rappel des restaurants: les recommandations de la CNIL

La CNIL fournit ses recommandations en matière de tenue d’un « cahier de rappel » par les établissements de restauration, conséquence directe du renforcement des mesures sanitaires dans les zones d’alerte maximale.

1. Données collectées

La collecte doit être limitée aux seules données nécessaires, sans qu’aucune pièce justificative ne puisse être exigée, à savoir :

  • l’identité de la personne (nom/prénom)
  • un moyen de contact (numéro de téléphone)
  • la date et l’heure d’arrivée de la personne

2. Finalité du traitement

Le traitement mis en œuvre doit avoir pour seule finalité la transmission des informations aux autorités sanitaires (CPAM, ARS…) pour faciliter la recherche des cas contacts le cas échéant et ne peut servir à des fins commerciales.  

3. Durée de conservation des données

La durée de conservation des données est fixée à 14 jours conformément aux préconisations du ministère des Solidarités et de la Santé. 

4. Sécurité des données

La sécurité des données passe notamment par leur confidentialité : seules les personnes devant en avoir connaissance doivent pouvoir y accéder (ex : le gérant qui transmet les données aux autorités sanitaires, le serveur qui recueille les données).

La CNIL distingue deux cas de figure :

  • le formulaire papier, qui doit être individuel ou par tablée s’il est mis à disposition du client ou bien doit faire l’objet d’une collecte par le restaurateur lui-même, afin qu’aucun client ne puisse avoir accès aux données des autres. Ce « cahier de rappel » papier doit ensuite être conservé dans un lieu sécurisé.
  • le formulaire électronique, dont le stockage doit être protégé par un mot de passe fort (comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux) et sur un matériel entreposé dans un lieu sécurisé.

5. Information des personnes concernées

Comme pour tout traitement de données personnes, les personnes concernées doivent bénéficier d’une information exhaustive et transparente sur le traitement au moment de la collecte de ses données en intégrant une mention d’information :

  • soit sur le formulaire papier ou électronique
  • soit sur un panneau d’affichage dans l’établissement

Cette mention d’information doit notamment comprendre :

  • l’identité et les coordonnées de l’établissement ;
  • la finalité de la collecte des données (transmission des informations aux autorités sanitaires pour faciliter le traçage des cas contacts) ;
  • la durée de conservation des données (14 jours) ;
  • les droits dont dispose la personne concernée (accès ou rectification des données, effacement sous conditions…) ;
  • les destinataires des données, notamment les autorités sanitaires.

Pour aider les établissements soumis à cette obligation, un modèle de mention d’information est mis à disposition par la CNIL sur son site.

La CNIL prend également en compte les entreprises non soumises au protocole sanitaire qui voudraient néanmoins mettre en place un « cahier de rappel » en fournissant un modèle distinct de mention d’information et en fixant des conditions spécifiques :

  • qu’il soit nécessaire c’est-à-dire qu’il réponde à un besoin identifié ;
  • qu’il soit soumis au consentement de chaque personne.

Pour rappel, pour être valide, le consentement doit être libre, ce qui signifie, rappelle la CNIL que le responsable de traitement ne peut pas refuser l’accès à son établissement si la personne refuse de communiquer ses données.

Invalidation du Privacy Shield : la réponse de la Chambre de commerce américaine

La Chambre de commerce américaine a publié fin septembre un livre blanc sur les transferts de données personnelles entre l’UE et les Etats-Unis postérieurs à l’arrêt Schrems II invalidant le Privacy Shield.

Ce livre blanc a pour objectif de fournir aux entreprises européennes des informations sur la protection des données personnelles par le droit américain pour leur permettre de mener à bien l’analyse au cas par cas de la validité des transferts de données vers les Etats-Unis, telle que demandée par la Cour de justice dans son arrêt.

Ainsi, la Chambre de commerce américaine rappelle que :

  • la plupart des entreprises américaines ne sont pas concernées par les demandes de communication de données en provenance des agences de renseignement gouvernementales qui n’ont aucun intérêt pour les données commerciales ordinaires comme les données relatives aux employés, aux clients, ou aux ventes ;
  • Schrems II ne conclut pas que la protection de la vie privée par la loi américaine n’est pas conforme au RGPD mais que les informations connues par la Commission européenne en 2016 sur ce pan de la législation américaine n’étaient pas suffisantes pour valider le Privacy Shield.

En conséquence, la Chambre de commerce recommande aux entreprises européennes ayant recours aux clauses contractuelles types de prendre en compte toutes les informations disponibles à ce jour sur la législation américaine protégeant les données à caractère personnel. A ce titre, elle détaille les informations qu’elle juge pertinente sur le sujet concernant les deux lois américaines citées par la Cour de justice dans son arrêt : le Foreign Intelligence Surveillance Act « FISA » 702 et l’Executive Order 12333.

En conclusion, la Chambre de commerce précise qu’il existe de nombreuses autres lois qui permettent d’assurer un accès aux données proportionné, sous contrôle et garantissant des recours possibles en cas de violation des droits des personnes.

Ce livre blanc étant issu de la Chambre de commerce américaine, sa position est nécessairement orientée mais il permet néanmoins aux entreprises européennes traitant des données personnelles faisant l’objet de transferts vers les Etats-Unis d’avoir des débuts de réponse, dans l’attente d’une position définitive des autorités de contrôle et du CEPD.

RGPD : Sanction de 35 millions d’euros à l’encontre de H&M

Le 1er octobre dernier, l’autorité de contrôle d’Hambourg a rendu publique une sanction financière prononcée à l’encontre d’une filiale allemande du groupe H&M d’un montant historique de plus de 35 millions d’euros pour une violation grave du RGPD.

En effet, depuis 2014, cette filiale du groupe collectait des données extrêmement détaillées sur la vie privée de ses employés, notamment sur les raisons de leurs absences qu’elles concernent des problématiques familiales, leurs croyances religieuses ou un arrêt maladie.  Une partie de ces données était ensuite stockée sous un format numérique, accessible à plus de 50 managers et utilisée pour prendre des décisions concernant leur évolution ou leurs conditions de travail au sein de l’entreprise.

L’autorité de contrôle a découvert ces agissements en octobre 2019 à la suite d’une erreur de configuration qui a rendu les données litigieuses accessibles à l’ensemble de l’entreprise.

H&M s’est empressée de prendre diverses mesures correctrices pour remédier à la situation et a présenté ses excuses aux employés concernés avant de leur proposer une compensation financière. L’autorité de contrôle a encouragé cette attitude mais a néanmoins décrété que le montant de l’amende était adapté à la gravité du manquement constaté et avait également pour but de dissuader les entreprises de porter atteinte à la vie privée de leurs employés.

Pour prendre connaissance de la décision, cliquez ici.

Durcissement des règles applicables aux Cookies et autres traceurs

La CNIL a publié ce 1er octobre 2020 ses lignes directrices modificatives et sa recommandation concernant les cookies et autres traceurs.

En effet, le 19 juin dernier, le Conseil d’Etat avait annulé une partie des lignes directrices de la CNIL en estimant que l’interdiction générale relative à la pratique des « cookie walls » était trop contraignante et allait au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Le 17 septembre 2020, la CNIL a donc adopté des lignes directrices modificatives ainsi qu’une version définitive de la recommandation pratique sur le sujet. Cette évolution des règles applicables a pour but de donner aux internautes un  meilleur contrôle sur les cookies et traceurs en ligne via l’affirmation de certains principes plus contraignants :

  • un nécessaire acte positif de l’utilisateur pour recueillir son consentement
  • des modalités de refus des cookies et traceurs qui soient aussi simples que les modalités d’acceptation
  • un renforcement de l’information de l’utilisateur

S’agissant des « cookie walls », la CNIL a estimé, dans le prolongement de ses premières lignes directrices, que  « le  fait  de  subordonner  la  fourniture  d’un  service  ou  l’accès  à  un  site  web  à l’acceptation  d’opérations  d’écriture  ou  de  lecture  sur  le  terminal  de  l’utilisateur (pratique dite de «cookie wall») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ».

La CNIL fixe le délai de mise en conformité aux nouvelles règles à six mois, soit au plus tard fin mars 2021. Pendant cette période, la CNIL accompagnera les acteurs concernés et prendra en compte les difficultés qu’ils rencontrent mais réaffirme qu’elle n’hésitera pas à poursuivre certains manquements « notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée ».

RGPD et rachat de sociétés

L’intégration d’une société A dans une société B peut avoir des impacts sur la conformité des traitements avec le RGPD. En effet, si les traitements de la société A sont gérés par la société B en tant que responsable de traitement, alors la société B a l’obligation d’informer les clients de la société A de ces changements dès son utilisation de leurs données ou dans un délai maximum d’un mois à compter de la transmission de la base de données à la société B.

La société B pourra alors en toute légalité envoyer un message aux clients de la société A, à condition de leur transmettre les informations figurant à l’article 14 du RGPD et notamment :

  • le fait que la base de données de la société A a été transmise à la société B du fait du rachat ;
  • les noms et coordonnées complètes de la société B, responsable de traitement ;
  • les catégories de données traitées (nom, prénom, email, numéro de téléphone etc.) ;
  • les finalités pour lesquelles les données sont traitées (gestion de la relation client, inscription au programme de fidélité etc.) et la base juridique du traitement (adhésion aux CGV, consentement, obligation légale…) …

Ces différentes informations peuvent par exemple figurer dans la Charte de protection des données ou Privacy Policy de la société B, jointe à l’email d’information.

Pour l’envoi de newsletters : cette finalité repose sur le consentement du client et un nouveau consentement doit donc impérativement être recueilli avant de pouvoir lui envoyer les newsletters de la société B, par exemple en intégrant une case à cocher à l’email d’information. A défaut, aucun message de prospection commerciale ne peut lui être envoyé.

POGGI Avocats IT – Intervention au dîner-débat de l’Agora des DSI et CIO du 9 septembre 2020

Anne-Sophie POGGI est intervenue aux côtés du professeur Jean-Yves LEGER au Dîner-débat de l’Agora des DSI et des CIO du 9 septembre 2020 sur le thème :

Le DSI, au cœur de la valorisation immatérielle de l’entreprise !

Pour revoir leur intervention en vidéo, c’est ici !

Le Privacy Shield invalidé

L’été a été propice à une actualité judiciaire sur le RGPD ayant un très fort impact sur tous les contrats en cours avec les sociétés américaines créant pour les entreprises une insécurité juridique.

La Cour de justice de l’Union européenne vient en effet d’invalider l’accord dit « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis (arrêt du 16 juillet 2020, C-311/18).

Les sociétés américaines ayant adhéré au Privacy Shield étaient, jusqu’à présent, considéré comme des destinataires ayant un niveau de protection équivalent au RGPD. Suite à la remise en cause de cet accord, les responsables de traitement vont devoir signer avec leurs prestataires américains des contrats de transferts de données, étant précisé que la simple signature des clauses contractuelles types de la Commission Européenne ne suffit plus.

En effet, la Cour de justice ajoute une nouvelle obligation à la signature de ces clauses : les responsables de traitement doivent à présent procéder à une évaluation au cas par cas de chaque transfert en fonction de deux critères cumulatifs:

  • le contenu des clauses contractuelles encadrant le transfert qui doivent prévoir :
    • des mécanismes effectifs permettant  d’assurer que le niveau de protection requis par le droit de l’UE est respecté ;
    • à défaut, des mécanismes permettant de suspendre lesdits transferts ;
  • la loi applicable du pays destinataire.

En parallèle, l’entreprise destinataire dudit transfert doit informer le responsable de traitement européen de son éventuelle incapacité de se conformer auxdites clauses.

Conséquences :

Vous êtes tenus de mettre en conformité vos transferts de données personnelles vers les Etats-Unis avec cette décision, que ces transferts soient à destination d’une filiale, de leur maison-mère ou d’un prestataire.

Ainsi, dans un premier temps, nous vous recommandons de :

  • supprimer toute référence au Privacy Shield de la Privacy policy et de toute autre mention d’information ;
  • recenser les transferts opérés vers les Etats-Unis ;
  • signer avec ses fournisseurs des contrats de transfert conformes ;
  • créer un process pour procéder à une évaluation au cas par cas de chaque transfert tenant compte des circonstances qui lui sont propres et des mesures mises en place entre les parties pour s’assurer de sa validité;
  • si l’analyse est négative, suspendre le transfert concerné voire même résilier le contrat passé avec le prestataire américain.

L’arrêt de la Cour de justice ayant une portée générale, il sera nécessaire, dans un second temps, de recenser l’ensemble des transferts de données vers un destinataire situé en dehors de l’UE et vérifier la validité de chacun d’entre eux dans les mêmes conditions.

POGGI Avocats IT intervenant à la Matinale Benchmark BRAPI

POGGI Avocats IT interviendra le 10 octobre prochain à la Matinale Benchmark BRAPI consacrée aux “Méthodes agiles & achats de prestations intellectuelles“.

BRAPI est un club d’échanges et de benchmark pour les responsables achats de prestations intellectuelles autour de thématiques très opérationnelles.

Accueil 8h45 -9h00 Matinale de 9h00 à 12h30 suivi d’un buffet jusqu’à 13h30 – dans les locaux du NUMA au 39 rue du Caire Métro: Sentier ou Réaumur Sébastopol

POGGI Avocats IT à La Matinale IT for Business

Anne-Sophie POGGI sera présente à La Matinale IT for Business du 17 avril 2019 consacrée au pilotage d’un S.I. externalisé et interviendra sur le thème du “Multicloud : repenser l’architecture de ses contrats, une nécessité”.