Jekyll2023-08-17T13:57:40+00:00https://claustres.com/feed.xmlClaustres ConseilAgence RGPD - DPO externaliséSMS frauduleux et protection des données personnelles2023-03-01T00:00:00+00:002023-03-01T00:00:00+00:00https://claustres.com/sms-frauduleux-et-protection-des-donnees-personnelles<p>Les SMS frauduleux sont une forme de cybercriminalité qui utilise les messages texte des téléphones mobiles pour tromper les destinataires en leur faisant croire qu’ils ont besoin de divulguer des informations personnelles, de payer des frais ou de cliquer sur un lien. Ils prennent souvent la forme de messages légitimes d’une entreprise (téléphonie, énergie, télévision payante…) ou d’un organisme public (ANTAI, AMELI, impôts…), mais ils sont en réalité conçus pour voler vos informations personnelles ou votre argent. Les cybercriminels utilisent des techniques sophistiquées pour cibler des personnes spécifiques et leur envoyer des SMS frauduleux personnalisés, dans une logique souvent quasi industrielle avec des envois se comptant souvent par centaines de milliers…</p>
<p>Faire le tour d’un tel sujet en un seul article sera forcément réducteur, mais notre objectif ici sera de présenter les principaux enjeux liés aux SMS frauduleux: les violations de données personnelles au sens du Règlement Européen sur la Protection des Données (RGPD/GDPR), et notamment leur impact psychologique et financier pour les personnes concernées.</p>
<p>Tout d’abord, nous allons présenter les différents types de SMS frauduleux et comment les cybercriminels obtiennent les numéros de téléphone cibles. Ensuite, nous examinerons les risques liés aux SMS frauduleux, notamment les conséquences pour les utilisateurs cibles, les risques pour les entreprises et organisations et comment ils peuvent compromettre la sécurité des données personnelles. Enfin, nous discuterons des mesures que les utilisateurs peuvent prendre pour se protéger des SMS frauduleux, notamment les bonnes pratiques pour protéger son téléphone, comment identifier les SMS frauduleux et les différencier des messages légitimes et que faire en cas de réception d’un SMS frauduleux.</p>
<h2 id="1-origine-des-sms-frauduleux">1. Origine des SMS frauduleux</h2>
<p>Les SMS frauduleux sont des messages texte envoyés sur les téléphones mobiles qui tentent de tromper les destinataires en leur faisant croire qu’ils ont besoin de divulguer des informations personnelles, de payer des frais ou de cliquer sur un lien.</p>
<p>Les SMS frauduleux peuvent sembler être des messages légitimes d’une entreprise ou d’une organisation de confiance (entreprises ou organismes publics), mais ils sont en réalité conçus pour voler des informations personnelles ou de l’argent: ils jouent souvent comme toute escroquerie sur l’urgence d’une opération à réaliser, par exemple payer une contravention routière à l’ANTAI avant sa majoration, ou profiter de ses Crédits Personnels de Formation (CPF) avant leur prochaine expiration…</p>
<p>Ils peuvent également être utilisés pour propager des logiciels malveillants ou des virus sur les téléphones (cheval de Troie, cryptovirus…), souvent en lien avec un “pot de miel” comme l’accès gratuit à un site phonographique ou à des bonus gratuits sur des jeux en ligne.</p>
<h3 id="11-les-différents-types-de-sms-frauduleux">1.1. Les différents types de SMS frauduleux</h3>
<p>Il en existe de différents types, notamment:</p>
<ul>
<li><strong>Les SMS d’hameçonnage (<em>phishing</em>)</strong> : ils tentent de vous faire cliquer sur un lien qui vous redirige vers un site Web frauduleux où vous êtes invité à divulguer des informations personnelles telles que votre nom, adresse e-mail, numéro de téléphone, mot de passe…</li>
<li><strong>Les SMS d’arnaque</strong> : ces SMS tentent de vous faire payer des frais pour un produit ou un service que vous n’avez jamais acheté ou demandé. Par exemple, on vous signale qu’on a cherché à vous livrer un colis de grande valeur qui a déjà été présenté à plusieurs reprises à votre domicile sans succès, et il faudra payer quelques euros pour pouvoir le récupérer…</li>
<li><strong>Les SMS d’usurpation d’identité</strong> : ces SMS se font passer pour des messages légitimes d’une entreprise ou d’une organisation de confiance, mais ils sont en réalité conçus pour voler des informations personnelles ou de l’argent: ANTAI pour des contraventions routières, nouvelle vignette Crit’Air, abonnement Netflix, opérateurs téléphoniques, renouvellement de votre carte vitale (AMELI)…</li>
</ul>
<p>Quelques exemple de <strong>vrais</strong> SMS frauduleux: n’essayez surtout pas de tester les liens Web!</p>
<p><img src="/images/sms-frauduleux/exemples-de-sms-frauduleux.png" alt="Exemples de SMS frauduleux" title="Exemples de SMS frauduleux" class="center-image" /></p>
<p>Liste non exhaustive, la créativité des cybercriminels étant malheureusement assez remarquable, en particulier pour la qualité de la scénarisation de l’escroquerie: par exemple ils peuvent partir du renouvellement de votre carte Vitale, pour vous demander le paiement d’une dizaine d’euros par carte bancaire, qui bizarrement échoue. Ensuite vous êtes rappelé par un conseiller de votre banque (un cybercriminel…), qui bien sûr est comme vous surpris de l’échec du paiement CB, et vous demande de faire de votre côté un test avec votre compte en ligne sur le Web ou le mobile, en validant un virement de plusieurs milliers d’euros “qui ne sera pas effectué réellement”…</p>
<p>Ce type d’arnaque est possible parce que la banque du porteur de CB peut être identifiée à partir du numéro de sa carte bancaire, permettant ainsi de rappeler la cible au nom de sa banque. La CNIL a d’ailleurs consacré <a href="https://www.cnil.fr/fr/le-paiement-distance-par-carte-bancaire">une page entière aux durées de conservation et modalités de protection des numéros de cartes bancaires</a> en 2018, mesures <a href="https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022021-legal-basis-storage-credit-card_fr">confirmées depuis par la CNIL des CNIL européenne (le CEPD/EDPB)</a> en 2021.</p>
<h3 id="12-comment-les-cybercriminels-obtiennent-ils-les-numéros-de-téléphone-">1.2. Comment les cybercriminels obtiennent-ils les numéros de téléphone ?</h3>
<p>Les méthodes des cybercriminels pour obtenir des numéros de téléphones mobiles sont multiples, citons par exemples:</p>
<ul>
<li><strong>Le piratage de bases de données</strong> : d’entreprises ou d’organismes publics qui stockent des informations personnelles. La collecte d’information des cybercriminels va souvent bien au delà du simple numéro de téléphone: nom, prénom, adresse, liste d’achats (site e-commerce) etc. Ce qui permet des scénarisations d’arnaques très sophistiquées, par la très bonne connaissance du profil de la cible à partir de ses données personnelles.</li>
<li><strong>L’utilisation de logiciels malveillants</strong> : pour accéder aux contacts sur le téléphone d’une personne et obtenir ainsi des numéros de téléphone. Les applications mobiles peuvent comporter intentionnellement ou non ce genre de “fonctionnalités”: attention donc aux éditeurs “exotiques” qui proposent monts et merveilles avec leurs apps gratuites…</li>
<li><strong>L’utilisation de listes de numéros de téléphone volés</strong> : les cybercriminels peuvent acheter des listes de numéros de téléphone volés par exemple sur le Dark Web, où ils bénéficient d’une certaine forme d’anonymat et donc d’impunité, avec souvent paiement en Bitcoins intraçables.</li>
<li><strong>L’utilisation d’IMSI Catcher</strong> : ce sont des dispositifs utilisés pour intercepter les communications mobiles en se faisant passer pour un relais d’opérateur mobile, par une attaque classique de type <em>man in the middle</em>. Ils peuvent envoyer des SMS frauduleux en usurpant l’identité de l’opérateur mobile, notamment en utilisant une faille de sécurité de la norme 2G. Une telle fraude a été observée début 2023 en région parisienne, avec <a href="https://www.leparisien.fr/faits-divers/arnaque-aux-sms-la-voiture-espionne-avait-aspire-les-donnees-de-16-000-franciliens-19-02-2023-VOMKOISIEJEH3KTJAH4N6BKG3Y.php">une voiture qui en se déplaçant avait capté 16 000 numéros de mobiles et envoyé plus de 400 000 SMS frauduleux</a>…</li>
</ul>
<p>Dans tous les cas, les utilisateurs de téléphone mobile doivent être vigilants et suivre les bonnes pratiques de sécurité énumérées dans la section 3.1. de cet article.</p>
<h2 id="2-les-conséquences-des-sms-frauduleux">2. Les conséquences des SMS frauduleux</h2>
<h3 id="21-conséquences-psychologiques-et-financières-pour-les-personnes-ciblées">2.1. Conséquences psychologiques et financières pour les personnes ciblées</h3>
<p>Les conséquences pour les utilisateurs cibles de SMS frauduleux peuvent être graves pour les personnes concernées, citons notamment :</p>
<ul>
<li><strong>L’usurpation d’identité</strong> : les cybercriminels peuvent utiliser les informations personnelles volées pour s’approprier l’identité de la personne et commettre des fraudes en son nom sans être inquiété. Par exemple, <a href="https://particuliers.banque-france.fr/info-banque-assurance/arnaques-les-bons-reflexes/usurpation-didentite-et-problemes-bancaires-que-faire">comme le rappelle la Banque de France</a>, pour obtenir un prêt à la consommation avec un établissement financier en ligne, ou simplement ouvrir un compte bancaire et émettre des chèques qui reviendront impayés…</li>
<li><strong>Les pertes financières</strong> : l’objectif des SMS frauduleux peut aussi être d’obtenir un acte de paiement (CB, virement, Bitcoin…) de la part de la personne concernée, avec des scénarios plus ou moins sophistiqués. La “qualité” de leur ingénierie sociale est capable de recouper des informations issues de logiciels malveillants ou de virus, ou plus simplement de la consultation de vos profils sur les réseaux sociaux. Les progrès de l’IA générative permet des <em>deepfakes</em> inimaginables il y a quelques années, par exemple <a href="https://www.vice.com/en/article/dy7axa/how-i-broke-into-a-bank-account-with-an-ai-generated-voice">l’utilisation de la voix générée par une IA comme identification biométrique pour accéder frauduleusement à un compte bancaire</a>.</li>
<li><strong>Les affections psychologiques</strong> : c’est la conséquence des deux précédentes, avec une culpabilité renforcée par la honte de “s’être fait avoir bêtement”… C’est pourquoi le RGPD étudie les conséquences d’une violation de données personnelles sous l’angle de l’affection psychologique de la personne concernée, notamment quand sont réalisées des Analyses d’Impact relatives à la Protection des Données (AIPD). Car les conséquence peuvent être dramatiques: <a href="https://www.ladepeche.fr/2022/12/21/qui-etait-regis-paluzzano-louvrier-agricole-crible-de-dettes-qui-a-mis-a-fin-a-ses-jours-10753197.php">un ouvrier agricole se serait suicidé suite à une usurpation d’identité qui l’a endetté à hauteur de 180 000 euros</a>.</li>
</ul>
<p>Le vrai danger est de sous-estimer le fait qu’on puisse devenir une cible des cybercriminels, parce qu’on croit qu’ils vont aller arnaquer plus riches ou plus crédules que soi : en pratique ils travaillent de façon quasi industrielle en ratissant le plus large possible, et se soucient peu des conséquences pour les personnes concernées.</p>
<h3 id="22-conséquences-pour-les-organismes-publics-ou-privés">2.2. Conséquences pour les organismes publics ou privés</h3>
<p>La captation de données personnelles a de plus en plus pour objectif de s’attaquer aux organismes publics et privés, comme par exemple dans le domaine de la santé où des hôpitaux et cliniques sont victimes de cryptovirus qui rendent inaccessibles les données de santé, en vue d’obtenir une rançon pour les déchiffrer (ransomware).</p>
<p>En effet, alors qu’il y a encore une vingtaine d’années les organisations cybercriminelles ciblaient principalement les individus pour obtenir des “petits” paiements dépassant rarement quelques milliers d’euros, la tendance actuelle est plutôt de s’attaquer à des organismes publics et privés pour obtenir des rançons de plusieurs millions d’euros! Ainsi, <a href="https://siecledigital.fr/2022/08/23/essonne-le-centre-hospitalier-sud-francilien-victime-dune-cyberattaque-majeure/">le Centre Hospitalier Sud-Francilien s’était vu demander en août 2022 une rançon de 10 millions de dollars</a> par des cybercriminels…</p>
<p>Et en cas de non-paiement, voire y compris en cas de paiement, ces données personnelles de clients, patients ou usagers seront revendues sur le Dark Web : les cybercriminels sont donc quasiment toujours gagnants…</p>
<p>Les conséquences pour ces organismes sont multiples:</p>
<ul>
<li><strong>Perturbation de l’activité</strong> : les infrastructures informatiques deviennent inutilisables, et le recours à des processus à base de stylo et de papier permettent de pallier au plus pressé. Mais dans les hôpitaux et cliniques, les conséquences peuvent être de reporter les opérations les moins urgentes, ou d’envoyer les patients qui nécessitent des soins urgents dans d’autres établissements. Avec parfois des conséquences dramatiques, comme cette <a href="https://siecledigital.fr/2020/09/18/une-femme-decede-au-cours-dun-ransomware-dans-un-hopital-allemand/">allemande qui est décédée en 2020 faute d’avoir pu être prise en charge par l’Hôpital de Düsseldorf, victime d’un ransomware</a>. Ou de mettre en grande difficulté les entreprises et leurs salariés, comme cela a été le cas par exemple pour la société <a href="https://www.zdnet.fr/actualites/lise-charmel-l-entreprise-lyonnaise-en-redressement-judiciaire-suite-a-un-ransomware-39900133.htm">Lise Charmel qui s’est retrouvée en redressement judiciaire en février 2020</a>, suite à une attaque de type ransomware 4 mois plus tôt: elle a dû licencier une centaine de ses collaborateurs dans les mois qui ont suivi, <a href="https://business.lesechos.fr/entrepreneurs/gestion-finance/0700049870440-lingerie-lise-charmel-sort-amaigrie-mais-remusclee-du-redressement-judiciaire-345421.php">même si elle a pu au final sortir de ce redressement judiciaire</a>.</li>
<li><strong>Responsabilité juridique</strong> : l’organisme peut être condamné en cas de violation de données personnelles s’il n’a pas mis en place les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Ainsi, en décembre 2021 <a href="https://www.cnil.fr/fr/violation-de-donnees-sanction-de-180-000-euros-lencontre-de-la-societe-slimpay">la société SLIMPAY a été condamnée par la CNIL à hauteur de 180 000 euros pour ne pas avoir suffisamment protégé les données personnelles de ses utilisateurs</a>.</li>
<li><strong>Perte de réputation</strong> : en s’attaquant à des organismes de plus grande taille, l’information sur la compromission de données personnelles devient généralement publique et largement diffusée dans les médias, et entache au final la confiance qu’on pouvait leur porter. Ce qui peut en plus le cas échéant être aggravé en cas de condamnation par la CNIL pour négligences dans la protection des données personnelles qu’ils hébergeaient.</li>
</ul>
<p>Là encore, la sous-estimation du risque cyber est souvent un facilitateur pour les cybercriminels. Dans le cas des hôpitaux et cliniques, les équipements dédiés à la santé des patients sont priorisés par rapport à la sécurisation des systèmes d’informations, ce qui en font des cibles de choix.</p>
<h2 id="3-comment-se-protéger-des-cybercriminels-">3. Comment se protéger des cybercriminels ?</h2>
<h3 id="31-quelques-bonnes-pratiques-à-respecter-quand-vous-recevez-un-sms">3.1. Quelques bonnes pratiques à respecter quand vous recevez un SMS</h3>
<p>Quand vous recevez un SMS:</p>
<ul>
<li><strong>Ne divulguez jamais vos données personnelles</strong> : ne répondez pas à des SMS demandant votre numéro de sécurité sociale, votre mot de passe, votre numéro de CB etc. Plus généralement, ne partagez jamais vos informations personnelles avec des personnes ou des entreprises que vous ne connaissez pas ou en qui vous n’avez pas confiance.</li>
<li><strong>Vérifiez toujours l’expéditeur</strong> : avant de cliquer sur un lien dans un SMS, assurez-vous que l’expéditeur est légitime. Toutefois, certaines méthodes frauduleuses comme celles utilisant des IMSI Catchers ou du SMS <em>spoofing</em>, peuvent donner l’impression de provenir d’un expéditeur légitime…</li>
<li><strong>Ne cliquez jamais sur les liens sans réfléchir</strong> : ne cliquez sur un lien dans un SMS que si vous êtes certain qu’il provient d’un expéditeur légitime.</li>
</ul>
<p>L’ensemble de ces mesures de précaution, qui découlent en fait du simple bon sens, concernent d’ailleurs aussi bien les SMS frauduleux que les e-mail frauduleux.</p>
<h3 id="32-quelques-bonnes-pratiques-pour-protéger-ses-données-personnelles">3..2. Quelques bonnes pratiques pour protéger ses données personnelles</h3>
<p>Sur votre téléphone mobile:</p>
<ul>
<li><strong>Installez un antivirus</strong> : il vous protègera des logiciels malveillants et des virus, aussi bien sur les liens de SMS frauduleux que lors de la navigation sur des sites Web avec votre smartphone. Attention toutefois à ne pas se reposer uniquement sur cette protection, qui n’est malheureusement pas parfaite.</li>
<li><strong>Protégez correctement vos données personnelles</strong> : utilisez des mots de passe forts pour tous vos comptes, en évitant d’utiliser des informations personnelles évidentes comme votre date de naissance ou votre nom. Pour vous en souvenir, des applications mobiles dédiées vous permettrons de les gérer. Vous pouvez consulter à ce sujet les <a href="https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite">recommandations de la CNIL</a>. Utilisez quand c’est possible la lecture d’empreinte digitale, pour éviter que des tiers puissent vous voir taper le code d’accès à votre téléphone mobile ou à une application. Utilisez quand c’est possible une identification à double facteur (2FA), pour ne pas faire reposer la sécurisation des accès sur la seule connaissance des mots de passe.</li>
<li><strong>Evitez de stocker des informations sensibles</strong> : par exemple, ne pas y stocker votre votre numéro de sécurité sociale, la copie de votre carte d’identité ou votre numéro de CB, sans les avoir préalablement chiffrés.</li>
</ul>
<h3 id="33-signaler-les-sms-frauduleux-au-33700">3.3. Signaler les SMS frauduleux au 33700</h3>
<p>Pour travailler à la sécurisation de votre téléphone mobile de façon collective, vous pouvez <a href="https://www.33700.fr/identifier-et-signaler-un-spam-sms/#comment-signaler-spam-sms">signaler un SMS frauduleux au 33700</a>.</p>
<p>La procédure se déroule en 2 étapes (gratuit pour les grands opérateurs téléphoniques):</p>
<ul>
<li><strong>Transférer le SMS frauduleux au 33700</strong>, sans y rajouter de commentaires ;</li>
<li><strong>Répondre au message envoyé dans la foulée par le 33700</strong>, avec le numéro qui est à l’origine du SMS frauduleux.</li>
</ul>
<p>Si l’expéditeur des SMS frauduleux fait l’objet de nombreux signalements, il pourra être blacklisté par les opérateurs. Bien sûr, les organisations cybercriminelles qui utilisent des techniques de types SMS <em>spoofing</em> ou IMSI Catcher ne seront pas directement impactées par ces mesures…</p>
<p>Le RGPD a permis de prendre conscience de l’importance à protéger nos données personnelles, mais ces dernières restent malgré tout constamment sous la menace de SMS frauduleux. Au delà des personnes concernées, leur violation peuvent aussi impacter la réputation et l’activité des organismes publics et privés. La sécurisation de nos téléphones mobile est au final une responsabilité partagée de bonnes pratiques entre des individus et des organismes publics et privés: nous devons tous faire notre part pour éviter que nos données personnelles tombent aux mains des organisations cybercriminelles.</p>Les SMS frauduleux sont une forme de cybercriminalité qui utilise les messages texte des téléphones mobiles pour tromper les destinataires en leur faisant croire qu’ils ont besoin de divulguer des informations personnelles, de payer des frais ou de cliquer sur un lien. Ils prennent souvent la forme de messages légitimes d’une entreprise (téléphonie, énergie, télévision payante…) ou d’un organisme public (ANTAI, AMELI, impôts…), mais ils sont en réalité conçus pour voler vos informations personnelles ou votre argent. Les cybercriminels utilisent des techniques sophistiquées pour cibler des personnes spécifiques et leur envoyer des SMS frauduleux personnalisés, dans une logique souvent quasi industrielle avec des envois se comptant souvent par centaines de milliers…La FAQ RGPD selon ChatGPT2022-12-21T00:00:00+00:002022-12-21T00:00:00+00:00https://claustres.com/faq-rgpd-chatgpt<p>Nous avons posé les mêmes questions à l’Intelligence Artificielle <a href="https://openai.com/blog/chatgpt/">ChatGPT</a> que dans <a href="/faq-agence-rgpd-dpo/">notre FAQ RGPD</a>, et le résultat est loin d’être ridicule, notamment si on raisonne en terme de vulgarisation du RGPD auprès du grand public, et qu’on a en tête qu’il ne s’agit pas d’une solution dédiée au RGPD.</p>
<p>Nous n’avons pas apporté la moindre correction aux réponses de ChatGPT, nos commentaires sont en fin de chaque réponse en italique.</p>
<p><img src="/images/rgpd-ia.jpg" alt="RGPD et IA" title="RGPD et IA" class="center-image" /></p>
<h2 id="quest-ce-que-le-rgpd-">Qu’est-ce que le RGPD ?</h2>
<p>Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui a pour objectif de renforcer la protection des données personnelles des citoyens de l’UE et de fixer des règles claires pour la collecte, l’utilisation et le traitement de ces données par les entreprises et les organisations. Le RGPD est entré en vigueur le 25 mai 2018 et s’applique à toutes les entreprises et organisations de l’UE, ainsi qu’à celles qui traitent les données de citoyens de l’UE, quelle que soit leur localisation géographique. Le RGPD vise à donner aux individus un contrôle accru sur leurs données personnelles et à assurer la transparence des entreprises et des organisations en matière de traitement de ces données.</p>
<p><em>La zone d’application du RGPD est l’Espace Economique Européen, qui comprend outre l’Union Européenne, l’Islande, la Norvège et le Liechtenstein. Nous ne ferons plus référence à cette réduction du RGPD à l’UE dans les réponses qui suivent.</em></p>
<h2 id="quest-ce-quune-agence-rgpd-">Qu’est-ce qu’une Agence RGPD ?</h2>
<p>Une agence RGPD est une entreprise ou une organisation qui offre des services de conformité au RGPD, c’est-à-dire qui aident les autres entreprises et organisations à se conformer aux exigences du RGPD en matière de protection des données personnelles. Les agences RGPD peuvent proposer différents types de services, tels que la mise en place de politiques et de procédures de protection des données, l’assistance à la rédaction de déclarations de confidentialité et de politiques de confidentialité, la formation des employés aux règles de protection des données, la gestion des demandes de droit d’accès et de rectification de données, et la mise en place de systèmes de gestion de la sécurité des données. Les agences RGPD sont souvent des experts en matière de protection des données et peuvent fournir une assistance précieuse aux entreprises et aux organisations qui cherchent à se conformer au RGPD et à protéger adéquatement les données de leurs clients et de leurs employés.</p>
<p><em>Pas mal présenté!</em></p>
<h2 id="est-ce-que-je-suis-concerné-par-le-rgpd-">Est-ce que je suis concerné par le RGPD ?</h2>
<p>Le RGPD s’applique à toutes les entreprises et organisations, quelles que soient leur taille et leur activité, qui traitent des données à caractère personnel de personnes résidant dans l’Union européenne. Si vous êtes une personne physique résidant dans l’Union européenne et que vous avez des données à caractère personnel qui sont traitées par une entreprise ou une organisation, alors vous êtes concerné par le RGPD.
Le RGPD protège vos droits en matière de protection de la vie privée et de sécurité de vos données à caractère personnel. Il vous donne notamment le droit d’accéder à vos données, de les rectifier, de les effacer et de disposer d’un droit à la portabilité de vos données. Il vous donne également le droit de vous opposer au traitement de vos données à caractère personnel, ainsi que le droit de retirer votre consentement au traitement de vos données à tout moment.</p>
<p>Il est important de noter que le RGPD s’applique uniquement aux données à caractère personnel de personnes résidant dans l’Union européenne. Si vous êtes une personne résidant en dehors de l’Union européenne, le RGPD ne s’applique pas à vous, sauf si vous êtes concerné par le traitement de vos données à caractère personnel par une entreprise ou une organisation qui opère dans l’Union européenne.</p>
<p><em>Les exemples de droits des personnes concernées donnent une vision concrète du RGPD pour le grand public, alors que nous étions plus axé avec notre FAQ sur les organismes qui réalisent des traitements. Un petit correctif : le RGPD s’applique aussi aux données personnelles qui sont traitées en dehors de l’UE/EEE par un organisme situé dans l’UE/EEE.</em></p>
<h2 id="quand-est-ce-que-je-dois-me-mettre-au-rgpd-">Quand est-ce que je dois me mettre au RGPD ?</h2>
<p>Le RGPD est entré en vigueur le 25 mai 2018. Si vous êtes une entreprise ou une organisation qui traite des données à caractère personnel de personnes résidant dans l’Union européenne, vous êtes tenu de vous conformer au RGPD depuis cette date.</p>
<p>Il est important de noter que le RGPD s’applique à toutes les entreprises et organisations, quelles que soient leur taille et leur activité. Si vous êtes une entreprise ou une organisation qui opère dans l’Union européenne et que vous traitez des données à caractère personnel, vous êtes tenu de vous conformer aux obligations du RGPD, qu’il s’agisse de la collecte, de l’utilisation, de la conservation, de la communication ou de la destruction de ces données.</p>
<p>Il est recommandé de mettre en place des mesures de protection de la vie privée et de sécurité des données dès que possible, afin de vous assurer que vous êtes en conformité avec le RGPD. Si vous avez besoin de plus d’informations sur les obligations du RGPD et sur les mesures à prendre pour vous conformer à cette réglementation, vous pouvez consulter les ressources disponibles sur le site internet de la Commission nationale de l’informatique et des libertés (CNIL) en France.</p>
<p><em>Pas d’évocation des amendes administratives qui peuvent être conséquentes en cas de non conformité au RGPD, mais le renvoi sur le site de la CNIL est bienvenu.</em></p>
<h2 id="quels-sont-les-délivrables-requis-par-le-rgpd-">Quels sont les délivrables requis par le RGPD ?</h2>
<p>Le RGPD impose aux entreprises et aux organisations qui traitent des données à caractère personnel de respecter certaines obligations en matière de protection de la vie privée et de sécurité des données. Voici quelques exemples de délivrables qui peuvent être requis par le RGPD :</p>
<ol>
<li>Politique de confidentialité : vous devez informer les personnes concernées de la manière dont vous allez utiliser leurs données à caractère personnel et de leurs droits en matière de protection de la vie privée.</li>
<li>Registre des activités de traitement : vous devez tenir un registre des activités de traitement de données à caractère personnel effectuées par votre entreprise ou organisation.</li>
<li>Désignation d’un délégué à la protection des données (DPO) : vous devez désigner un délégué à la protection des données (DPO) si votre entreprise ou organisation traite de grandes quantités de données à caractère personnel ou si votre activité principale consiste à effectuer des opérations de traitement de données sensibles.</li>
<li>Mesures de sécurité : vous devez mettre en place des mesures de sécurité adaptées pour protéger les données à caractère personnel contre toute destruction, perte, altération, divulgation ou accès non autorisé.</li>
<li>Notifications de violations de données : vous devez informer les autorités de contrôle et, le cas échéant, les personnes concernées, en cas de violation de données à caractère personnel.</li>
<li>Formation des employés : vous devez assurer la formation de vos employés sur les obligations du RGPD et sur les bonnes pratiques en matière de protection de la vie privée.</li>
</ol>
<p>Ces exemples ne sont pas exhaustifs et il est possible que d’autres délivrables soient requis en fonction de votre activité et de la nature des données que vous traitez. Il est recommandé de se renseigner sur les obligations du RGPD et de se faire conseiller par un professionnel pour s’assurer de respecter cette réglementation.</p>
<p><em>Réponse étayée d’exemples concrets facilitant la compréhension du concept pour le grand public, alors que dans notre FAQ nous sommes plus focus sur les registres et leur documentation support afin que l’organisme concerné puisse répondre à son obligation de rendre compte en cas de contrôle CNIL. Et suggérer de se faire conseiller par un expert RGPD est aussi bienvenu ! :-)</em></p>
<h2 id="quest-ce-quun-dpo-">Qu’est-ce qu’un DPO ?</h2>
<p>Un délégué à la protection des données (DPO) est une personne qui a pour mission de veiller au respect de la réglementation en matière de protection des données à caractère personnel, notamment le RGPD (Règlement général sur la protection des données). Le DPO est chargé de conseiller l’entreprise ou l’organisation sur les obligations en matière de protection de la vie privée et de sécurité des données, de veiller à la mise en œuvre de mesures adéquates pour assurer le respect de ces obligations, et de gérer les éventuelles demandes des personnes concernées ou des autorités de contrôle.</p>
<p>Le DPO peut être un salarié de l’entreprise ou de l’organisation, ou bien une personne extérieure qui est mandatée pour remplir cette fonction. Il doit être indépendant dans l’exercice de ses fonctions et ne doit pas être soumis à des pressions qui pourraient compromettre son impartialité.</p>
<p>Le DPO doit être désigné par l’entreprise ou l’organisation qui traite des données à caractère personnel si celle-ci effectue de grandes quantités de traitements de données ou si son activité principale consiste à effectuer des opérations de traitement de données sensibles. Si ces conditions ne sont pas remplies, l’entreprise ou l’organisation peut décider de désigner un DPO de manière volontaire.</p>
<p>Il est recommandé de se faire conseiller par un professionnel pour déterminer si votre entreprise ou organisation doit désigner un DPO et pour mettre en place les mesures nécessaires pour se conformer aux obligations du RGPD en matière de protection des données à caractère personnel.</p>
<p><em>Presque un sans faute: il manque juste quelques précisions concrètes sur les fonctions qui ne sont pas compatibles avec celles de DPO, comme nous l’avons fait dans notre FAQ.</em></p>
<h2 id="jai-besoin-dun-dpo-je-suis-obligé-de-le-recruter-">J’ai besoin d’un DPO, je suis obligé de le recruter ?</h2>
<p>Le RGPD (Règlement général sur la protection des données) prévoit que les entreprises et les organisations qui effectuent de grandes quantités de traitements de données à caractère personnel ou dont l’activité principale consiste à effectuer des opérations de traitement de données sensibles doivent désigner un délégué à la protection des données (DPO). Si votre entreprise ou organisation remplit ces critères, vous êtes tenu de désigner un DPO.</p>
<p>Il est possible de désigner un DPO de manière interne, c’est-à-dire un salarié de l’entreprise ou de l’organisation qui remplit cette fonction en plus de ses autres missions. Si vous choisissez cette option, il est recommandé de s’assurer que le DPO dispose de compétences et de connaissances spécifiques en matière de protection des données à caractère personnel et de respect des obligations du RGPD.</p>
<p>Il est également possible de désigner un DPO de manière externe, c’est-à-dire en faisant appel à une personne ou à une société qui remplit cette fonction pour votre entreprise ou organisation. Cette option peut être intéressante si vous n’avez pas de salarié disposant des compétences nécessaires pour remplir cette fonction ou si vous préférez externaliser cette mission.</p>
<p>Il est recommandé de se faire conseiller par un professionnel pour déterminer si votre entreprise ou organisation doit désigner un DPO et pour mettre en place les mesures nécessaires pour se conformer aux obligations du RGPD en matière de protection des données à caractère personnel.</p>
<p><em>N’hésitez pas à nous contacter pour en savoir plus, comme le conseille ChatGPT ! :-)</em></p>Nous avons posé les mêmes questions à l’Intelligence Artificielle ChatGPT que dans notre FAQ RGPD, et le résultat est loin d’être ridicule, notamment si on raisonne en terme de vulgarisation du RGPD auprès du grand public, et qu’on a en tête qu’il ne s’agit pas d’une solution dédiée au RGPD.RGPD et pseudonymisation ou anonymisation des données de santé2022-11-02T00:00:00+00:002022-11-02T00:00:00+00:00https://claustres.com/RGPD-et-pseudonymisation-anonymisation-donnees-de-sante<p>Je suis souvent confronté à cette réflexion par des professionnels des métiers de la santé: “il n’y a plus de données personnelles de patients (nom, prénom, date de naissance, numéro de SS etc.) dans ces données de santé, DONC c’est un traitement de données anonymes”…</p>
<p>Et logiquement, ils en déduisent qu’il n’est plus nécessaire de prendre de précautions renforcées pour protéger ces données personnelles, comme par exemple un hébergement externalisé certifié HDS (Hébergement de Données de Santé).</p>
<p>Malheureusement, ce n’est pas si simple.</p>
<p>En fait c’est typiquement une des difficultés du Règlement Européen sur les Données Personnelles (RGPD), celle d’utiliser des mots du langage courant avec un sens bien spécifique:</p>
<ul>
<li>la notion de <strong>données personnelles</strong> est très large, et va bien au-delà des données directement identifiantes ; et la CJUE tend qui plus est à élargir ce spectre dans son <a href="https://curia.europa.eu/jcms/jcms/p1_3839338/fr/">arrêt du 01/08/2022</a> sur la déduction d’informations sensibles dans le cadre d’un traitement de données personnelles.</li>
<li>la notion d’<strong>anonymisation</strong> suppose qu’il ne soit plus possible de réidentifier la personne concernée, ce qui est contradictoire par exemple avec la nécessité d’effectuer un rapprochement post traitement pour rattacher ce traitement de données au bon patient…</li>
</ul>
<p>Nous verrons dans cet article les différentes méthodes permettant d’assurer la confidentialité des données de santé, notamment la pseudonymisation et l’anonymisation, les problématiques liées de réidentifications, ainsi que l’importance de l’étude de l’impact potentiel sur les personnes concernées.</p>
<h2 id="1-la-pseudonymisation-simple-mesure-de-sécurisation-des-données-personnelles">1. La pseudonymisation, simple mesure de sécurisation des données personnelles</h2>
<p>La notion de pseudonymisation sous-entend que les données personnelles sont toujours <strong>individualisées</strong>, même si les éléments d’identification directe de la personne concernée (nom, prénom, numéro de sécurité sociale, date de naissance, sexe, adresse postale…) du jeu de données initial ont été retirés ou masqués (remplacés par “NIR”, “NOM”, “PRENOM” etc. comme le recommande notamment la CNIL dans son <a href="https://www.cnil.fr/sites/default/files/atoms/files/referentiel_entrepot.pdf">référentiel concernant les entrepôts de données de santé</a>).</p>
<p>Néanmoins, il y a toujours un élément (un index) qui permet de <strong>réidentifier</strong> les individus dans la base de données pseudonymisées, par <strong>rapprochement</strong> avec une autre base de données qui lie cet index aux informations d’identification directe de la personne concernée.</p>
<p>Il s’agit donc d’une simple mesure de sécurisation des données, <strong>réversible</strong> comme l’est un chiffrage de données, utile notamment dans les cas de sous-traitance ou de recherche sur les données personnelles de santé.</p>
<p>Par exemple, dans le cas d’un Centre d’Imagerie Médicale (CIM), la pseudonymisation est utilisée pour transmettre l’image médicale (IM) d’un patient à un sous-traitant qui va réaliser une pré-interprétation de celle-ci grâce à de l’intelligence artificielle.</p>
<p>Le traitement du sous-traitant se fait dans uns infrastructure conforme HDS, <strong>car la pseudonymisation des IM ne change pas leur statut de données personnelles de santé</strong>.</p>
<p>Une fois le traitement terminé, le pré-diagnostic est retourné au CIM, qui peut ensuite le réattribuer au bon patient, grâce à la base de données d’identification qui permet ce rapprochement.</p>
<p>Le schéma suivant présente ce processus de pseudonymisation-réidentification:</p>
<p><img src="/images/rgpd-sante/cim-im-pseudonymisee.png" alt="Schéma CIM et pseudonymisation" title="Schéma CIM et pseudonymisation" class="center-image" /></p>
<p>On pourrait objecter que rien ne ressemble plus à une radio de poumons, qu’une autre radio de poumons, et que seul le CIM dispose de la base de correspondances nécessaire pour faire le rapprochement.</p>
<p>Mais en réalité, le fait que ces données de santé soient <strong>individualisées</strong> les expose à un risque de réidentification par <strong>recoupement</strong>, c’est à dire en comparant par exemple ces radios avec d’autres radios, en croisant ce résultat avec une base de rendez-vous d’un prestataire tiers du CIM qui a été piratée etc.</p>
<h2 id="2-le-difficile-challenge-de-lanonymisation">2. Le difficile challenge de l’anonymisation</h2>
<p>Contrairement à la pseudonymisation, l’anonymisation de données personnelles doit être irréversible.</p>
<p>Le G29, Groupement de l’article 29 regroupant les autorités de contrôle de la protection des donnéess personnelles préalablement au RGPD/GDPR et CEPB/EDPB <a href="https://www.cnil.fr/sites/default/files/atoms/files/wp216_fr.pdf">avait donné son avis en 2014 ce que devaient être des données anonymisées</a>:</p>
<ul>
<li><strong>Individualisation impossible</strong>, contrairement justement à la pseudonymisation,</li>
<li><strong>Corrélation impossible</strong>, i.e. aucun lien entre des ensembles de données distincts concernant un même individu,</li>
<li><strong>Inférence impossible</strong>, i.e. pas possible de déduire de nouvelles informations sur un individu.</li>
</ul>
<p>Si un seul de ces trois critère n’est pas rempli, on peut considérer que ces données ne sont pas anonymisées <em>stricto sensu</em>, et donc qu’il s’agit toujours de données personnelles.</p>
<h3 id="21-les-méthodes-danonymisation-par-randomisation">2.1. Les méthodes d’anonymisation par randomisation</h3>
<p>Les différentes méthode de randomisation étudiées par le G29 sont les suivantes:</p>
<ul>
<li><strong>randomisation par ajout de bruit</strong>, notamment en réduisant la précision/granularité des données personnelles pour réduire les risques de réidentification ; par exemples, réduire la précision de l’a taille d’un individu de +/- 10 cm, réduire la précision sur le poids d’un individu de +/-10 kg .</li>
<li><strong>randomisation par permutations</strong>, pour corréler artificiellement les données entre des individus différents, par exemples en permutant les tailles et poids des individus.</li>
<li><strong>randomisation par confidentialité différentielle</strong>, pour rajouter un bruit mathématique aux données personnelles qui n’altérera pas le traitement de ces données. On est proche dans l’esprit du chiffrage de ces données personnelles, en optimisant le niveau de bruit pour ne pas nuire au résultat du traitement de ces données. C’est une solution promue notamment par <a href="https://github.com/Google/private-join-and-compute">Google en open source</a> pour garantir la confidentialité des données personnelles dans le Big Data/Open Data.</li>
</ul>
<p>Si un humain peut difficilement effectuer une réidentification à partir de ces données, elles présentent un biais logique qui est de <strong>continuer à individualiser les données personnelles sources</strong>.</p>
<p>Le tableau suivant synthétise les conclusions du G29 sur les méthodes de randomisation:</p>
<p><img src="/images/rgpd-sante/anonymisation-randomisation.png" alt="Tableau anonymisation par randomisation" title="Tableau anonymisation par randomisation" class="center-image" /></p>
<p>Le cas Netflix est une bonne illustration des problématiques de randomisation par ajout de bruit, où <a href="https://www.cs.utexas.edu/~shmat/shmat_oak08netflix.pdf">Arvind Narayanan et VitaliyShmatikov</a> ont réussi à <strong>réidentifier jusqu’à 99% des 500 000 individus</strong> d’une base pseudonymisée de plus de 100 millions d’évaluations de films, avec pourtant rajout de bruit sur les notes et dates, simplement en la croisant avec une base de notations publique de films tierce IMDB…</p>
<h3 id="22-les-méthodes-danonymisation-par-généralisation">2.2. Les méthodes d’anonymisation par généralisation</h3>
<p>Le principe d’anonymisation par généralisation est de <strong>supprimer l’individualisation des données personnelles</strong>, notamment en les regroupant sous forme de <strong>cohortes</strong> de même caractéristiques pour qu’il ne soit plus possible de les réidentifier.</p>
<p>Les différentes méthodes de généralisation étudiées par le G29 sont les suivantes:</p>
<ul>
<li><strong>k-anonymat</strong>: il s’agit d’effectuer des agrégations avec au moins k individus, en réduisant la granularité de leurs données personnelles pour qu’ils partagent les mêmes valeurs. Par exemple, regrouper les individus par fourchettes d’âge à la place de leur date de naissance, ou des fourchettes de poids ou de tailles.</li>
<li><strong>l-diversité/t-proximité</strong>: il s’agit de pallier aux attaques par inférences du k-anonymat en s’assurant que les attributs des cohortes aient au moins l valeurs différentes (l-diversité) et que leur distribution ne dépasse pas un seuil t (t-proximité).</li>
</ul>
<p>A ces deux méthodes de généralisation, nous rajoutons comme le fait par exemple le spécialiste du traitement de données <a href="https://blog.palantir.com/au-del%C3%A0-de-lanonymisation-palantir-mode-d-emploi-no-3-b0af71e4c980">PALANTIR</a> les <strong>données synthétiques</strong>, qui reposent sur la génération de nouvelles séries de données corrélées aux données originales, notamment:</p>
<ul>
<li><strong>Réseaux Antagonistes Génératifs</strong> (ou <strong>GAN</strong>), antagonistes car mettant en compétition un réseau neuronal “générateur” et un réseau neuronal “discriminateur” dans un process d’apprentissage par les machines (machine learning). Au fil de l’apprentissage, le générateur va créer de nouvelles données, dont la pertinence sera validée par le réseau discriminateur.</li>
<li><strong>Auto Encodeurs Variables</strong> (ou <strong>VAE</strong>), où un “encodeur” va déterminer dans un premier temps caractéristiques moyennes et spécificités (ou variances) des données initiales, qui sont ensuite “décodées” pour générer de nouvelles données au caractéristiques proches.</li>
</ul>
<p>Avec des données synthétiques, on ne traite plus des données originales des patients, ce qui rend impossible l’individualisation ou la corrélation; toutefois si la répartition de la nouvelle série de données est très proche de la série d’origine, l’inférence reste possible par du recoupement avec des données tierces.</p>
<p>Le tableau suivant synthétise les performances respectives des différentes solutions de généralisation:</p>
<p><img src="/images/rgpd-sante/anonymisation-generalisation.png" alt="Tableau anonymisation par généramisation" title="Tableau anonymisation par généralisation" class="center-image" /></p>
<p>En fin de compte, il n’y a pas de méthode d’anonymisation parfaite ou idéale car la réidentification peut dans certains cas être possible, quel que soit le procédé d’anonymisation utilisé, notamment grâce au recoupement avec des données tierces.</p>
<p><a href="https://www.cnil.fr/fr/recherche-scientifique-hors-sante/enjeux-avantages-anonymisation-pseudonymisation">La CNIL conclut à ce sujet</a> qu’“À défaut de remplir parfaitement ces trois critères, il doit être démontré, via une évaluation approfondie des risques d’identification, que le <strong>risque de réidentification avec des moyens raisonnables est nul</strong>.”</p>
<p><a href="https://blog.palantir.com/au-del%C3%A0-de-lanonymisation-palantir-mode-d-emploi-no-3-b0af71e4c980">PALANTIR</a> ne parle pas d’ailleurs anonymisation stricto sensu dans son article, “Puisque le terme d’anonymisation peut comporter un sens usurpé de sécurité en suggérant que les données ne peuvent être ré-identifiées, Palantir recommande que les organisations lui substituent le terme “<strong>dé-identification</strong>”. Concernant les techniques en elles-mêmes, “(…) chacune présentant avantages et inconvénients, permettant de <strong>sensiblement réduire</strong> les risques de réidentification”. (mis en gras par nous)</p>
<h2 id="3-pseudonymisation-anonymisation-et-analyses-dimpacts-dans-la-recherche-en-santé">3. Pseudonymisation, anonymisation et analyses d’impacts dans la recherche en santé</h2>
<p>La problématique de l’anonymisation dans la recherche, c’est qu’en réduisant la granularité des données personnelles de santé voire en les généralisant complètement, on risque de perdre aussi en pertinence des résultats…</p>
<p>Le <strong>Health Data Hub</strong> (HDH) a évoqué cette problématique <a href="https://www.health-data-hub.fr/actualites/guides-donnees-de-sante-anonymes">des données anonymes en santé</a>, qui passe en pratique par un nécessaire compromis entre ces deux questions:</p>
<ul>
<li>a-t-on besoin de préserver la <strong>granularité</strong> des informations au niveau des individus ?</li>
<li>a-t-on besoin de <strong>partager</strong> simplement et largement les données ?</li>
</ul>
<p>La <strong>pseudonymisation</strong> s’impose quand conserver la granularité des données individuelles est nécessaire pour réaliser les études, ou qu’il faut avoir la possibilité de réidentifier ultérieurement les patients: étude des parcours de soins, études cliniques au sein d’un établissement de santé…</p>
<p>L’<strong>anonymisation</strong> s’impose dès lors que l’on n’a pas besoin de données identifiantes, ou que le partage large et simple des données est une nécessité: statistiques anonymes, partage de résultats dans le cadre de la recherche pour en assurer la reproductibilité…</p>
<p>Toutefois, il est utile de rappeler que la <strong>notion de risque mitige un évènement redouté</strong> (ici la réidentification) avec sa <strong>probabilité de réalisation</strong>, mais aussi avec son <strong>impact</strong> sur les personnes concernées (les patients).</p>
<p>Ainsi, le <a href="https://www.health-data-hub.fr/sites/default/files/2022-09/Guide%20d%E2%80%99%C3%A9valuation%20du%20caract%C3%A8re%20anonyme%20d%E2%80%99un%20jeu%20de%20donn%C3%A9es%20v2%20%281%29.pdf">Guide d’évaluation du caractère anonyme d’un jeu de données dans le cadre d’un projet de recherche</a> donne quelques conseils, notamment concernant l’analyse de risque de réidentification pour le patient (ou Analyse d’Impact sur la Protection des Données, AIPD).</p>
<p>Pour illustrer son propos, le HDH reprend notre cas des patients d’un CIM, mais cette cette fois les IM ne sont plus pseudonymisées quand elle sortent du PACS, mais “anonymisées” (plus d’index permettant le recoupement comme avec la pseudonymisation) pour être rendues disponibles pour des chercheurs.</p>
<p>En fait, nous parlerons ici plus de <strong>déidentification</strong> comme le fait PALANTIR, car si il n’y a plus d’index comme dans l’IM pseudonymisée, l’IM en elle-même n’a pas subit la moindre modification pour éviter un rapprochement ultérieur avec les images du PACS du CIM. Le rapprochement des IM étant possible sans difficultés majeures, on pourrait considérer d’ailleurs qu’on est toujours dans un cas particulier de <strong>pseudonymisation</strong>, et donc qu’il s’agit toujours de données personnelles de santé.</p>
<p>Le schéma suivant présente ce processus de déidentification-réidentification:</p>
<p><img src="/images/rgpd-sante/cim-im-anonymisee.png" alt="Schéma CIM et anonymisation" title="CIM et anonymisation" class="center-image" /></p>
<p>Si l’on reprend l’AIPD proposée par le HDH, cela donne le tableau (TRES simplifié) suivant:</p>
<p><img src="/images/rgpd-sante/aipd-sante.png" alt="Tableau AIPD en santé" title="Tableau AIPD en santé" class="center-image" /></p>
<p>Ainsi, quoique la réidentification grâce au PACS du CIM soit quasi certaine à partir des images déidentifiées, le risque lié au traitement reste au final acceptable, notamment parce que la sécurisation du PACS qui pourrait permettre ce rapprochement est excellente, et que l’impact sur les personnes concernées en cas de rapprochement est considérée comme négligeable.</p>
<p>Au final le RGPD ne donne pas de recettes miracles pour protéger les données de santé, mais il oblige les chercheurs à un minimum de réflexions ex ante sur la meilleure façon de procéder en fonction des objectifs recherchés, tout en anticipant avec des AIPD sur les impacts potentiels de ces traitements pour les personnes concernées.</p>
<p>Et comme je l’avais écrit dans une précèdent article, <a href="/dpo-et-professionnels-de-sante-sont-ils-faits-pour-s-entendre/">DPO et professionnels de santé sont fait pour s’entendre</a>, car la vision du Délégué à la Protection des Données qui défend l’intérêt des patients apporte sa contribution pour assurer la cohérence globale du projet de recherche.</p>Je suis souvent confronté à cette réflexion par des professionnels des métiers de la santé: “il n’y a plus de données personnelles de patients (nom, prénom, date de naissance, numéro de SS etc.) dans ces données de santé, DONC c’est un traitement de données anonymes”…Choisir un gestionnaire de cookies pour la conformité RGPD2022-01-13T00:00:00+00:002022-01-13T00:00:00+00:00https://claustres.com/Choisir-un-gestionnaire-de-cookies-pour-la-conformite-RGPD<p>D’habitude omniprésent dans tout ce qui touche aux outils Web et mobile, Google ne propose pas de solution de gestionnaire de cookies (Consent Management Platform – CMP) pour faciliter sa mise en conformité au RGPD.</p>
<p>Conséquence de cette absence ? L’abondance voire le trop-plein de solutions avec plusieurs milliers de CMP disponibles, dont une grande partie sont <a href="https://iabeurope.eu/cmp-list/">référencés sur le site de l’IAB</a>, du moins ceux qui sont conformes au <a href="https://iabeurope.eu/transparency-consent-framework/">Transparency and Consent Framework (TCF)</a>.</p>
<p>Comme une présentation exhaustive de ces solutions n’est juste pas possible, j’ai pris le parti de présenter les 4 solutions que je conseillerai à des TPE ou PME pour mettre en place un gestionnaire de cookies conforme aux <a href="https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation">recommandations de la CNIL</a>.</p>
<h3 id="tarte-au-citron--open-source-auto-hébergé-et-référence-cnil">Tarte au citron : open source, auto-hébergé et référence CNIL</h3>
<p>La solution <a href="https://tarteaucitron.io/fr/">Tarte au citron</a>, créée par le développeur français Amauri Champeaux, cumule à nos yeux la plupart des avantages qu’on peut attendre d’un CMP :</p>
<ul>
<li>Open source : transparence sur les traitements effectués par le logiciel, existence d’une <a href="https://github.com/AmauriC/tarteaucitron.js/discussions">communauté d’utilisateurs</a> ;</li>
<li>Auto-hébergé : possibilité de l’installer directement sur ses serveurs, pour une maîtrise totale des traitements ;</li>
<li>Solution référente car utilisée sur le <a href="https://www.cnil.fr">site Web de la CNIL</a>, Autorité de Contrôle française.</li>
</ul>
<p>Cependant comme beaucoup de solutions open source, il faut maîtriser un minimum les principes de développement informatiques pour pouvoir la mettre en œuvre en auto-hébergé.</p>
<h3 id="orejime--open-source-auto-hébergé-et-référence-apd">Orejime : open source, auto-hébergé et référence APD</h3>
<p>La solution <a href="https://orejime.empreintedigitale.fr/">orejime</a> est développée par la SCOP française Empreinte Digitale qui développe des solutions numériques responsables (RSE, Green IT etc.).
Comme Tarte au Citron, <a href="https://github.com/empreinte-digitale/orejime">elle est open source</a> et disponible en auto-hébergé.</p>
<p>Elle est aussi très crédible, car utilisée aussi bien par l’<a href="https://www.autoriteprotectiondonnees.be/citoyen">Autorité de Contrôle belge (APD)</a> que par le site Web <a href="https://www.service-public.fr/">Service-Public.fr</a> en France.</p>
<p><img src="/images/CMP/cookies-on-off.png" alt="Les gestionnaires de cookies pour le RGPD" title="Les gestionnaires de cookies pour le RGPD" class="center-image" /></p>
<h3 id="cookiebot--saas-mais-utilisable-en-version-gratuite">CookieBot : SaaS mais utilisable en version gratuite</h3>
<p>La solution SaaS <a href="https://www.cookiebot.com/fr/">CookieBot</a> est éditée par la société dano-germanique Usercentric, avec un hébergement des données situé dans l’Union Européenne (Microsoft Azure en Europe, Fujitsu A/S au Danemark).</p>
<p>Contrairement aux solutions auto-hébergées, les solutions SaaS sont censées être plus faciles à intégrer par des profils moins techniques.</p>
<p>CookieBot est l’une des rares solutions SaaS qui reste conforme au RGPD dans sa version gratuite, malgré quelques limitations : 1 domaine avec moins de 100 pages Web, pas de bannières personnalisées, pas de multilingue etc.</p>
<p>Elle s’adresse semble-t-il principalement aux petits sites Web (d’où l’offre gratuite) et aux agences Web.</p>
<h3 id="axeptio--saas-payant-mais-pas-triste-">Axeptio : SaaS payant mais pas triste !</h3>
<p>La solution SaaS <a href="https://www.axeptio.eu/fr/home">Axeptio</a> est éditée par la société française Agilitation.</p>
<p>Si une version gratuite existe, elle est purement théorique car non conforme au RGPD (pas de stockage du consentement) et trop limitée (2 cookies, pas de consentement marketing etc.).</p>
<p>Ce qui la différencie des autres solutions, c’est le design « fun » des interfaces de gestion des cookies, qui s’adresse aux agences Web qui désirent en mettre plein la vue à leurs clients ! Bien loin en tous cas des interfaces austères réalisées par et pour des informaticiens…</p>
<p>Mais c’est aussi la preuve qu’on peut traiter un sujet sérieux (la protection des données personnelles) sans se prendre trop au sérieux.</p>
<p>Au final c’est quand même rassurant que dans un univers Web largement dominé par Google, il soit tout à fait possible de n’utiliser que des solutions respectueuses des données, comme par exemple un « combo » de CMP Tarte au Citron ou Orejime, avec MATOMO pour l’analytique.</p>D’habitude omniprésent dans tout ce qui touche aux outils Web et mobile, Google ne propose pas de solution de gestionnaire de cookies (Consent Management Platform – CMP) pour faciliter sa mise en conformité au RGPD.Les nouvelles Clauses Contractuelles Types du point de vue des PME2021-09-20T00:00:00+00:002021-09-20T00:00:00+00:00https://claustres.com/Les-nouvelles-clauses-contractuelles-types-du-point-de-vue-des-pme<p>Les Clauses Contractuelles Types (CCT) de la Commission Européenne constituent en pratique pour les PME la principale méthode pour offrir aux transferts de données personnelles vers les pays tiers qui ne font pas l’objet d’une <a href="https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en">décision d’adéquation</a>, le même niveau de protection que dans l’UE/EEE. (<a href="https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5#Article46">Voir l’article 46 du RGPD pour le détail</a>)</p>
<p>En effet, dès lors que l’on envisage ces transferts de données personnelles d’une PME de l’UE/EEE vers un un pays tiers, l’application d’un code de conduite ou d’un mécanisme de certification, et <em>a fortiori</em> les règles d’entreprises contraignantes au sein d’un même groupe s’appliquent rarement…</p>
<p>Quant aux “instruments juridiquement contraignants”, le principal en usage est la Convention 108 du Conseil de l’Europe, qui dans sa version RGPD dite Convention 108+ n’est entrée en vigueur dans aucun <a href="https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108/signatures?module=signatures-by-treaty&treatynum=223">pays signataire</a> à date de la rédaction de cet article.</p>
<p>Et quand bien même, j’ai pu constater en pratique qu’il était d’usage de considérer cette Convention 108(+) comme une garantie importante mais pas suffisante, <a href="https://www.ccin.mc/fr/impact-du-rgpd-a-monaco-faq">comme par exemple pour Monaco selon son autorité de contrôle CCIN</a> - car vous ne le savez peut-être pas, mais Monaco n’est pas un pays considéré comme adéquat par la Commission Européenne, au contraire d’Andorre ou de l’Ile de Man par exemple…</p>
<p>La mise à jour des CCT par la Commission Européenne n’est donc pas anodine, d’autant que 18 mois au plus après leur entrée en vigueur elles remplaceront obligatoirement les anciennes CCT déjà en place.</p>
<h3 id="sur-la-forme-comment-faire-complexe-quand-on-peut-faire-simple-">Sur la forme: comment faire complexe quand on peut faire simple ?</h3>
<p>Les anciennes CCT étaient assez simple à mettre en œuvre : pour faire court, il suffisait de remplir les informations désignant les parties, l’exportateur de données de l’UE et l’importateur de données du pays tiers, de ne pas toucher à un mot du texte et d’annexer une description du transfert de données: personnes concernées, finalités du transfert, données sensibles, destinataires etc.</p>
<p>Il faut reconnaître que les nouvelles CCT lèvent plusieurs manques/ambiguïtés:</p>
<ul>
<li>Les rôles des exportateurs et importateurs de données sont désormais clairement qualifiés comme responsable du traitement ou sous-traitant selon les cas ;</li>
<li>Une nouvelle annexe est dédiée spécifiquement aux mesures techniques et organisationnelles mises en œuvre pour garantir la sécurité des données (sauf pour les transferts de sous-traitant à responsable des traitements) ;</li>
<li>Une nouvelle annexe liste et décrit les sous-traitants ultérieurs, dans les cas de transfert de responsable du traitement à sous-traitant ou de sous-traitant à sous-traitant.</li>
</ul>
<p>Par contre tout cela figure dans un même document, qui inclut des choix possibles selon 4 types de modules qui correspondent aux 4 combinaisons possibles entre responsable du traitement et sous-traitant :</p>
<ul>
<li>MODULE 1 : transfert de responsable du traitement à responsable du traitement ;</li>
<li>MODULE 2 : transfert de responsable du traitement à sous-traitant ;</li>
<li>MODULE 3 : transfert de sous-traitant à sous-traitant ;</li>
<li>MODULE 4 : transfert de sous-traitant à responsable du traitement.</li>
</ul>
<p>Et comme si cela ne suffisait pas, certaines parties rajoutent plusieurs choix ou options possibles, ce qui rend ce document encore plus complexe à étudier…</p>
<p>Heureusement il est possible de supprimer les modules qui ne concernent pas les parties signataires : pour travailler avec ces CCT, il faudra en pratique les “éclater” en 4 version distinctes, et on peut par conséquent légitimement se demander si ça n’aurait pas été plus simple de les proposer directement sous cette forme sans ces fameux modules ?</p>
<h3 id="sur-le-fond-vous-devez-parfaitement-connaître-votre-importateur-de-données-et-son-contexte-local">Sur le fond: vous devez parfaitement connaître votre importateur de données et son contexte local</h3>
<p>Dans l’Annexe II, une liste de mesures de sécurisation des transferts de données personnelles proposée à titre d’exemple occupe une page entière, uniquement pour les intitulés et non les mesures en elles-mêmes… Quant aux sous-traitants ultérieurs, quelle PME aura les moyens pour faire un audit sur place afin de s’assurer que tout est conforme ?</p>
<p>Déjà complexe mettre en place pour une PME, cette parfaite connaissance technique et organisationnelle des transferts de données personnelles devient carrément ingérable dès lors qu’il faut avoir en plus une parfaite connaissance du contexte juridique et des pratiques locales : la clause 14 “Législation et pratiques locales ayant une incidence sur le respect des clauses” lui est spécifiquement dédiée, et le court extrait suivant est sans ambiguïtés sur ce point :</p>
<blockquote>
<p>Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte (…) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ;</p>
</blockquote>
<p><img src="/images/CCT/Usine-a-gaz-cct-2021.png" alt="L'usine à gaz des nouvelles Clauses Contractuelles Types" title="L'usine à gaz des nouvelles Clauses Contractuelles Types" class="center-image" /></p>
<p>Est-ce applicable en pratique aux PME qui ont des moyens d’investigation limités? On peut en douter, comme le fait justement remarquer le <a href="https://www.europarl.europa.eu/doceo/document/B-9-2021-0267_FR.html">Parlement Européen dans sa proposition de résolution du 12/05/2021</a> :</p>
<blockquote>
<p>(…) les PME européennes, ainsi que les organisations et associations à but non lucratif, disposent d’un pouvoir de négociation et de capacités juridiques et financières limités, alors qu’on attend d’elles qu’elles évaluent en autonomie l’adéquation de la protection des données dans des pays tiers, ce qui implique d’appréhender les cadres juridiques complexes de divers pays tiers; invite instamment la Commission et le comité européen de la protection des données à fournir des orientations en ce qui concerne l’utilisation pratique de mesures supplémentaires fiables, en particulier pour les PME;</p>
</blockquote>
<p>L’enfer étant rempli de bonnes intentions, la louable amélioration de la sécurisation des transferts de données personnelles vers les pays tiers risque de se traduire en pratique par la mise hors la loi des PME européennes qui exportent des données personnelles vers des pays tiers…</p>
<p>La Commission Européenne aurait dû dresser une liste des pays “interdits de transfert de données personnelles même avec des CCT”, pour que les PME n’aient plus qu’à se soucier des aspects techniques et organisationnels des transferts vers des pays simplement “non adéquats”.</p>
<p>Sauf que cela impliquerait en particulier de mettre les Etats-Unis avec leur CLOUD Act (23/03/2018) sur cette liste de pays interdits de transfert de données personnelles même avec des CCT, ce qui semble politiquement difficile à envisager malgré (ou à cause de) la toute puissance des GAFAM…</p>Les Clauses Contractuelles Types (CCT) de la Commission Européenne constituent en pratique pour les PME la principale méthode pour offrir aux transferts de données personnelles vers les pays tiers qui ne font pas l’objet d’une décision d’adéquation, le même niveau de protection que dans l’UE/EEE. (Voir l’article 46 du RGPD pour le détail)Sécurisez vos e-mails avec S-MIME pour qu’ils soient RGPD-compatibles !2021-06-07T00:00:00+00:002021-06-07T00:00:00+00:00https://claustres.com/Securisez-vos-e-mails-avec-s-mime-pour-RGPD<p>Le cryptage de bout en bout tend à devenir la norme sur les applications mobiles de messagerie : WhatsApp, Messenger, Telegram, Signal…</p>
<p>De son côté, le plus ancien et le plus répandu des protocoles de messagerie, l’e-mail, continue de diffuser sur Internet une grande quantité de messages et pièces jointes sans aucun cryptage.</p>
<p>Alors que plus de 300 milliards d’e-mails sont échangés chaque année dans le monde <a href="https://fr.statista.com/statistiques/583905/nombre-d-e-mails-par-jour-dans-le-monde--2019/">Source Statistica</a>.</p>
<p>C’est devenu un outil de travail nécessaire pour réaliser de nombreuses tâches administratives ou commerciales, ou même simplement personnelles dès que l’on fait de nouvelles rencontres.</p>
<p>Tout cela étant encore accentué depuis 2020 avec le Covid-19, qui a favorisé le télétravail et la dématérialisation des procédures, qui souvent passent par des échanges d’e-mails quand elles n’ont pas été suffisamment anticipées en amont.</p>
<p>L’e-mail est donc un “tuyau” dans lequel circulent énormément de données personnelles, sensibles ou non, qui questionnent par conséquent sur leur protection - et donc leur rapport au RGPD (Règlement Européen sur les Données Personnelles).</p>
<p>Le premier niveau de sécurisation de ces e-mails est le protocole de chiffrage TLS qui tend à se généraliser chez les fournisseurs d’e-mail, mais qui nous allons le voir présente des limites auquel le protocole S/MIME peut pallier.</p>
<p>Nous allons donc essayer d’y voir plus clair avec cet article.</p>
<h3 id="les-limites-du-tls">Les limites du TLS</h3>
<p>Le protocole TLS (Transport Layer Security) permet d’envoyer des données chiffrées à un serveur e-mail, de la même façon qu’un site Web “https” crypte les données transmises dans les deux sens.</p>
<p>Cela fonctionne aussi bien sur un Webmail (https) qu’avec un client e-mail, comme Outlook ou Thunderbird.</p>
<p>Toutefois il présente deux limites : la première limite concerne la diffusion des e-mails en dehors de la plateforme considérée.</p>
<p>En effet, tant que vous envoyez des e-mails à des correspondants qui font partie de la même plateforme e-mail (Gmail, Yahoo! Mail, SFR Mail..) la confidentialité vis-à-vis des tiers est normalement protégée lors de vos échanges.</p>
<p>Par contre, si vous écrivez à quelqu’un qui n’est pas sur la même plateforme d’e-mail, il existe un risque important qu’à l’occasion du transfert d’une plateforme à l’autre, voire de la plateforme de votre correspondant à son client e-mail, les informations transitent en clair sur les réseaux.</p>
<p><a href="https://transparencyreport.google.com/safer-email/overview?hl=fr">Google fournit un outil</a> qui permet d’évaluer les risques de perte de confidentialité de Gmail sur les réseaux: pour faire court, un utilisateur de Gmail a globalement <strong>1 chance sur 10</strong> d’avoir une perte de confidentialité lors de l’échange de ses e-mails avec un tiers.</p>
<p>La seconde limite est la capacité de ces plateformes à accéder à vos informations, notamment quand il s’agit de solutions d’origines américaines soumises au <strong>CLOUD (Clarifying Lawful Overseas Use of Data) Act</strong>, adopté le 23/03/2018, juste deux mois avant l’entrée en vigueur du RGPD (24/05/2018).</p>
<p>Cela permet concrètement aux autorités américaines (FBI, CIA, NSA…) d’accéder en toute légalité à tout document, dont les e-mails, qui sont hébergés par des sociétés américaines, et ce partout dans le monde…</p>
<p>Or le protocole TLS se contente d’assurer la confidentialité des transferts de données sur les plateformes e-mails, pas de sécuriser les données hébergées sur ces plateformes: pour cela, il faudrait que les e-mails soient eux-mêmes cryptés.</p>
<p>C’est ce qu’il est possible de faire avec le protocole S/MIME, standardisé en 1999 par <a href="https://www.ietf.org/">l’IETF</a> mais malheureusement encore peu répandu dans le grand public.</p>
<h3 id="le-cryptage-asymétrique-des-e-mails-avec-smime">Le cryptage asymétrique des e-mails avec S/MIME</h3>
<p>S/MIME est une solutions de cryptage asymétrique standardisées qui repose sur le couple clé privée/clé publique: la clé privée de l’émetteur de l’e-mail permet de signer son message pour l’authentifier, le contenu du message envoyé est crypté quant à lui avec la clé publique du destinataire.</p>
<p><img src="/images/SMIME/signature-cryptage-email-smime.png" alt="Cryptage et signature S/MIME" title="Signature et cryptage des e-mails avec SMIME" class="center-image" /></p>
<p>Le problème est que plupart des Webmails ne proposent pas S/MIME en standard, voire ne le proposent pas du tout!</p>
<p>Par exemple, c’est possible de crypter avec S/MIME avec Gmail, mais uniquement en version professionnelle. Je n’ai rien trouvé de tel sur Yahoo! Mail, en gratuit ou payant. Rien vu non plus sur les Webmails d’Orange ou de SFR…</p>
<p>Heureusement, les deux principaux clients emails Outlook et Thunderbird proposent S/MIME en standard dans leurs dernières versions.</p>
<p>Encore faut-il avoir un certificat S/MIME me direz-vous?</p>
<h3 id="comment-obtenir-son-certificat-smime-">Comment obtenir son certificat S/MIME ?</h3>
<p>Divers services plus ou moins payants permettent de générer les certificats S/MIME : <a href="https://www.actalis.it/en/certificates-for-secure-electronic-mail.aspx">Actalis</a>, <a href="https://sectigo.com/ssl-certificates-tls/email-smime-certificate">Sectigo</a>, <a href="https://www.ssl.com/fr/client-mime-et-certificats-de-signature-de-documents/">SSL.com</a>…</p>
<p>Mais peu de gens savent que l’on peut se passer de ces générateurs de certificats avec un logiciel gratuit comme OpenSSL, <a href="https://slproweb.com/products/Win32OpenSSL.html">disponible ici pour Windows 10</a>, et devenir aussi sa propre autorité de certification!</p>
<p><a href="https://www.dalesandro.net/create-self-signed-smime-certificates/">Un article résume assez bien la méthode à suivre</a>, mais il faut toutefois reconnaître que ça reste encore assez technique, limite pénible et en tous cas peu adapté au grand public.</p>
<p>Et quand vous aurez enfin généré votre certificat S/MIME, il faudra encore l’installer dans le client de messagerie, par exemple sur <a href="https://www.ssl.com/fr/comment/installer-un-certificat-mime-s-et-envoyer-des-e-mails-s%C3%A9curis%C3%A9s-dans-mozilla-thunderbird-sur-windows-10/">Thunderbird</a> ou <a href="https://www.ssl.com/fr/comment/installation-du-certificat-mime-s-envoi-de-courrier-%C3%A9lectronique-s%C3%A9curis%C3%A9-Outlook-Windows-10/">Outlook</a>.</p>
<p>Avec patience et méthode je suis finalement arrivé au bout de ce processus, mais finalement je me sens un peu seul dans ce cercle vertueux de la sécurisation des e-mail, car maintenant il faut que je trouve des correspondants qui auront eux aussi fait l’effort de mettre en place le cryptage d’email S/MIME…</p>Le cryptage de bout en bout tend à devenir la norme sur les applications mobiles de messagerie : WhatsApp, Messenger, Telegram, Signal…RGPD : l’intérêt légitime comme base légale des traitements de données personnelles2020-11-12T00:00:00+00:002020-11-12T00:00:00+00:00https://claustres.com/RGPD-L-interet-legitime-comme-base-legale-des-traitements<p>La question de l’intérêt légitime d’un organisme comme fondement de la licéité de traitements est celle qui porte le plus à controverses, alors que consentement, contrat, obligation légale, sauvegarde des intérêts vitaux ou missions d’intérêt public paraissent mieux cadrés.</p>
<p>Le consentement fait certes aussi objet de polémiques, notamment pour les sites Web éditoriaux qui veulent conserver un consentement par défaut, mais ce n’est rien en comparaison des interprétations qui sont faites de l’intérêt légitime par certains responsables des traitements.</p>
<p>Par exemple, le responsable commercial d’une entreprise sera tenté de justifier le fait de contacter des personnes physiques à titre personnel pour vendre ses biens et services, sans avoir obtenu préalablement leur consentement, comme étant de l’intérêt légitime de l’entreprise pour pouvoir développer son chiffre d’affaire.
Et vous vous retrouvez ainsi appelé chez vous entre midi et 14h par des call centers pour vous vendre plein de choses extraordinaires, alors que votre numéro a bien été inscrit sur <a href="http://www.bloctel.gouv.fr/">BLOCTEL</a>…</p>
<p>Nous allons donc essayer d’y voir plus clair avec cet article.</p>
<h3 id="définition-de-lintérêt-légitime-du-responsable-des-traitements">Définition de l’intérêt légitime du responsable des traitements</h3>
<p><a href="https://www.cnil.fr/fr/la-liceite-du-traitement-lessentiel-sur-les-bases-legales-prevues-par-le-rgpd">Selon la CNIL</a>, « le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ».</p>
<p>La fin de la phrase a son importance : il faut certes prendre en compte l’intérêt de l’organisme responsable des traitements, mais sans que cela nuise aux droits et intérêts des personnes concernées.</p>
<p>Pour reprendre l’exemple déjà évoqué, il n’entre donc pas dans l’intérêt pas dans l’intérêt légitime d’un responsable commercial de contacter des personnes physiques sur leur numéro personnel, sans avoir eu leur consentement préalable – et circonstance aggravante quand elles sont inscrites sur <a href="http://www.bloctel.gouv.fr/">BLOCTEL</a> !</p>
<p>Mais pour approfondir ces concepts, il faut nous plonger dans les avis du G29…</p>
<h3 id="lintérêt-légitime-mis-en-balance-avec-les-droits-et-intérêts-des-personnes-concernées">L’Intérêt légitime mis en balance avec les droits et intérêts des personnes concernées</h3>
<p>Le Groupement de travail de l’article 29 (appelé aussi « G29 ») est un organisme consultatif européen indépendant sur ma protection des données personnelles ; ses avis sont importants pour interpréter le RGPD.</p>
<p>Ainsi, dès avril 2014, <a href="https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_fr.pdf">le G29 a publié un avis sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données</a>, qui sert toujours aujourd’hui de référence sur ce sujet.</p>
<p><img src="/images/interet-legitime/balance-interet-legitime.png" alt="Mise en balance" title="Mise en balance" class="center-image" /></p>
<p>Il y décrit une « <strong>mise en balance</strong> » entre l’intérêt légitime du responsable des traitements d’une part, et les droits et intérêts de la personne concernée de l’autre.</p>
<p>L’intérêt légitime du responsable des traitements doit :</p>
<ul>
<li>Être établi sur une base légale dans le pays et dans l’Union Européenne ;</li>
<li>Être suffisamment précis pour pouvoir être mis en balance avec les droits des personnes concernées ;</li>
<li>Constituer un intérêt « réel et présent », c’est-à-dire concerner des activités qui ne sont pas hypothétiques.</li>
</ul>
<p>Les droits <strong>ET</strong> intérêts des personnes concernées doivent être quant à eux interprétés largement, ce qui donne en pratique plus de protection qu’une simple référence à leurs droits et libertés fondamentales ; en particulier, le G29 considère qu’il y a un déséquilibre en faveur des responsables des traitements qui ont des moyens d’investigation « sans précédents », et donc qu’il faut protéger dans leur intérêt la vie privée des personnes concernées.</p>
<p>La balance doit par conséquent tenir compte aussi de l’impact de l’intérêt légitime du responsable des traitements sur les personnes concernées ; par exemple l’impact moral négatif que peut subir une personne concernée par la perte de contrôle et la diffusion sur Internet de données personnelles à son insu (photos, vidéos, informations de santé…).</p>
<h3 id="penser-à-bien-documenter-la-justification-de-lintérêt-légitime">Penser à bien documenter la justification de l’intérêt légitime</h3>
<p>Aussi bien la CNIL que le G29 recommandent de bien documenter les fondements de l’intérêt légitime d’un traitement.</p>
<p>Le G29 préconise d’évaluer successivement :</p>
<ul>
<li>Les fondements juridiques (consentement, contrat etc.) ;</li>
<li>La qualification de l’intérêt légitime (licéité, précis, réel et présent) ;</li>
<li>La nécessité du traitement pour la réalisation de l’intérêt ;</li>
<li>La balance avec les droits ET intérêts concrets des personnes concernées ;</li>
<li>Les garanties supplémentaires à offrir éventuellement aux personnes concernées pour rééquilibrer la balance.</li>
</ul>
<p>La CNIL quant à elle insiste sur la documentation à mettre en place pour démontrer l’intérêt légitime du responsable de traitements en cas de contrôle.</p>La question de l’intérêt légitime d’un organisme comme fondement de la licéité de traitements est celle qui porte le plus à controverses, alors que consentement, contrat, obligation légale, sauvegarde des intérêts vitaux ou missions d’intérêt public paraissent mieux cadrés.RGPD : Les devoirs d’information du responsable des traitements2020-11-06T00:00:00+00:002020-11-06T00:00:00+00:00https://claustres.com/RGPD-Les-devoirs-information-du-responsable-des-traitements<p>Le Règlement Européen sur les Données Personnelle (RGPD/GDPR) est souvent présenté comme quelque chose de compliqué, qui nécessiterait une lecture complète de la règlementation, des publications du G29 et du Code Pénal pour en comprendre la substantifique moelle…</p>
<p>Cela peut donner lieu à des synthèses qui se veulent plus ou moins exhaustives, comme celle du CLUb de la sécurité de l’Information Français (CLUSIF) :</p>
<p><img src="/images/devoir-info-rgpd/CLUSIF-RGPD-2019.png" alt="Synthèse RGPD CLUSIF 2019" title="Synthèse CLUSIF RGPD 2019" class="center-image" /></p>
<p><a href="https://clusif.fr/publications/infographie-donnees-personnelles-rgpd/">Source : CLUSIF 04/06/2019</a></p>
<p>A forces de vouloir trop détailler le RGPD, on perd de vue les principes de bon sens qui sont à son origine; or le RGPD peut être présenté de façon très simple, en se rappelant de son principe fondateur : <strong>la réappropriation des données personnelles que vous et moi confions à des tiers, qui nous appartiennent et dont nous pouvons par conséquent contrôler les usages (traitements)</strong>.</p>
<p>Ces tiers, ce sont aussi bien les Google, Apple, Facebook, Amazon et Microsoft (GAFAM) que de plus petits acteurs qui vous appellent sur votre ligne téléphonique personnelle entre midi et deux pour savoir si vous avez bien reçu le courrier machin qui vous donnait l’avantage bidule… alors que vous vous êtes inscrit sur BLOCTEL pour éviter ces désagréments.
Cette réappropriation passe par des obligations d’information du responsable des traitement en amont lors de la collecte des données personnelles, mais aussi lors du traitement avec en particulier une obligation d’information en cas de violation de ces données personnelles.</p>
<h3 id="premier-pilier-du-rgpd--devoir-dinformation-sur-les-traitements">Premier pilier du RGPD : devoir d’information sur les traitements</h3>
<p>La transparence, c’est d’abord l’information par le responsable des traitements (le tiers) des personnes concernées (vous et moi), des traitements de données personnelle effectués au sein de son organisme.</p>
<p>La transparence, c’est ensuite le rappel par le responsable des traitements que les personnes concernées ont des droits qu’elles peuvent exercer à tout moment : droit d’accès, droit à la rectification, droit à l’effacement etc.</p>
<p>La transparence, c’est enfin le rappel qu’en cas de réponses insatisfaisantes suite à leurs demandes auprès du responsable des traitements, les personnes concernées peuvent s’adresser à leur autorité compétente (la CNIL en France) pour faire respecter leurs droits.</p>
<p><img src="/images/devoir-info-rgpd/RGPD-transparence-traitements.png" alt="Devoir d'information sur les traitements" title="Devoir d'information sur les traitements" class="center-image" /></p>
<p>Cette transparence inclut des informations sur les sous-traitances des traitements de données personnelles, les traitements en dehors de l’Union Européenne (pays adéquats, clauses contractuelles types etc.) – et plus généralement tout ce qui concerne la licéité des traitements, comme par exemple la suppression d’un compte client qui n’implique pas immédiatement la suppression de ses factures (obligations légales).</p>
<p>Enfin, pour conserver une certaine fluidité dans les interactions entre personnes concernées et responsables des traitements, des mentions légales « contextuelles » limitées aux informations essentielles peuvent être mises en place, par exemple lors de la mise en place d’un formulaire : identité du responsable des traitements, finalités du traitement, droits des personnes</p>
<p><a href="https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence">Voir à ce sujet la page dédiée de la CNIL</a>.</p>
<h3 id="second-pilier-du-rgpd--devoir-dinformation-sur-les-violations">Second pilier du RGPD : devoir d’information sur les violations</h3>
<p>Les données personnelles, si elles sont immatérielles, n’en ont pas moins de la valeur – y compris pour des organisations criminelles.</p>
<p>Le responsable des traitements a donc pour obligation légale de protéger ces données personnelles, et le cas échéant en cas de violations avérées, de les signaler à l’autorité de contrôle (la CNIL) et aux personnes concernées.</p>
<p>Afin que les personnes concernées puissent prendre des mesures de sécurisation adaptées (changement de mot de passe etc.).</p>
<p><img src="/images/devoir-info-rgpd/RGPD-transparence-violations.png" alt="Devoir d'information sur les violations" title="Devoir d'information sur les violations" class="center-image" /></p>
<p>Pour limiter ces risques de violations de données personnelles, en plus d’une classique Politique de Sécurisation des Systèmes d’Information (PSSI) le RGPD recommande de mettre en place une protection des traitements de données dès la conception (« privacy by design »), ainsi que d’offrir le meilleur niveau de protection possible (« privacy by default »).</p>
<p>Le <em>privacy by design</em> implique par exemple de traiter le moins d’informations personnelle possible pour une finalité donnée (par exemple a-t-on besoin de l’année pour fêter un anniversaire ?), de masquer autant que possible l’identité de la personne concernée par rapport à ses données personnelles traitées (« pseudonymisation »), ou de procéder à un chiffrement de bout en bout des données lors des échanges de données personnelles avec la personne concernée.</p>
<p>Le <em>privacy by default</em> implique par exemple d’être à l’état de l’art en termes de PSSI, de pouvoir gérer de façon très fine les droits accès aux données personnelles des personnes concernées (i.e. uniquement ceux pour qui c’est nécessaire), ainsi qu’une parfaite traçabilité de ces accès.</p>
<p>En France, les devoirs d’information sur les traitements et les violations n’ont rien de nouveau, puisqu’ils existaient depuis les débuts de la Loi Informatique et Liberté de 1978 – ce qui est nouveau avec le RGPD, c’est le niveau des sanctions en cas de non respect de ces obligations : jusqu’à 10 millions d’euros en dessous de 500 millions d’euros de CA mondial, 10% du CA mondial au-delà…</p>Le Règlement Européen sur les Données Personnelle (RGPD/GDPR) est souvent présenté comme quelque chose de compliqué, qui nécessiterait une lecture complète de la règlementation, des publications du G29 et du Code Pénal pour en comprendre la substantifique moelle…Editeurs de logiciels et contractualisation RGPD : à prendre ou à laisser ?2020-10-09T00:00:00+00:002020-10-09T00:00:00+00:00https://claustres.com/Editeurs-de-logiciels-et-contractualisation-RGPD-a-prendre-ou-a-laisser<p>Comme souvent avec le RGPD, tout le monde pense aux <strong>GAFAM</strong> (Google Apple Facebook Amazon Microsoft), mais le déséquilibre entre responsables des traitements et éditeurs de logiciels <em>data processors</em> (sous-traitants) touche aussi de plus petits acteurs qui opèrent dans des niches métiers.</p>
<p><img src="/images/editeurs-dpa/Contrat-a-prendre-ou-a-laisser.jpg" alt="Editeurs et DPA : à prendre ou à laisser" title="Editeurs et DPA : à prendre ou à laisser" /></p>
<p>Par exemple, une fois qu’un cabinet médical a adopté un logiciel de gestion des dossiers patients, il ne va pas en changer du jour au lendemain car il lui faudrait migrer sur la nouvelle solution tous les dossiers patients, la connecter avec les divers systèmes tiers (solution de prise de rendez-vous, gestion des feuilles de soin électroniques, récupération des ordonnances etc.), former les équipes au nouveau logiciel…</p>
<p>Le problème, c’est qu’une fois le contrat signé, ces éditeurs refusent obstinément de changer ne serait-ce qu’une ligne de la contractualisation sur les traitements de données personnelles (appelées aussi <strong>DPA</strong> pour <em>Data Processing Agreement</em>), souvent incluses en annexe des Conditions Générales de Ventes.</p>
<p>Ça ne serait pas trop grave si les DPA imposés par les éditeurs offraient des conditions équitables (et licites) pour les responsables de traitements.</p>
<p>Malheureusement ce n’est pas toujours le cas: le déséquilibre entre responsable des traitements et éditeurs de logiciels métiers se retrouve dans les DPA imposés par ces derniers.</p>
<p>D’abord par une description très évasives des traitements qui leurs sont confiés, comme “<em>le sous-traitant est autorisé à effectuer des traitements de données personnelles pour le compte du responsable des traitements</em>” : mais <em>quid</em> des finalités, des personnes concernées, des données personnelles, des durées de conservations, des destinataires etc.?</p>
<p>Laisser une telle formulation laisse toute latitude au sous-traitant pour définir de son côté les moyens et finalités du responsable des traitements, ce qui est bien sûr contraire à l’esprit et à la lettre du RGPD.</p>
<p>Ensuite cela se retrouve dans l’absence d’informations détaillées sur les études d’impact (AIPD) qui ont été réalisées quand elles sont nécessaires : le responsable des traitements doit parfois se contenter d’un “<em>nous avons fait les AIPD sur les traitements que vous nous avez confié et il en résulte un risque résiduel négligeable pour les personnes concernées</em>”. Et c’est tout.</p>
<p>Mais alors, comment le responsable des traitements peut-il faire lui-même ses propres AIPD sur ces traitements, sans avoir la connaissance des tenants et aboutissants des AIPD réalisées par son sous-traitant (menaces, sources de risques etc.)? Le responsable des traitements a-t-il dans ce cas des <em>garanties suffisantes</em> pour s’assurer que l’éditeur répond bien aux exigences du RGPD? On peut en douter.</p>
<p>Enfin cela se retrouve aussi par des audits du responsable des traitements souvent considérés comme un <em>dérangement</em> des équipes du sous-traitant, et dont il faudra par conséquent indemniser l’éditeur proportionnellement à ce dérangement : autrement dit si jamais vous voulez vous assurer de ces <em>garanties suffisantes</em> quand les informations qui vous sont transmises sont lacunaires, il va falloir y mettre le prix.</p>
<p>Le seul moment où le responsable est en position de force par rapport à l’éditeur, c’est <strong>AVANT</strong> la signature du contrat : c’est donc à ce moment qu’il faut évoquer les problématiques RGPD et négocier les conditions de la sous-traitance des données personnelles, car au final les différents logiciels offrent peu ou prou les mêmes fonctionnalités… Et ces aspects contractuels peuvent faire la différence!</p>
<p>C’est d’ailleurs un bon test de maturité de l’éditeur sur sa façon d’appréhender la sécurisation des données personnelles que vous allez lui confier, et plus généralement la qualité de la relation commerciale qui va suivre.</p>Comme souvent avec le RGPD, tout le monde pense aux GAFAM (Google Apple Facebook Amazon Microsoft), mais le déséquilibre entre responsables des traitements et éditeurs de logiciels data processors (sous-traitants) touche aussi de plus petits acteurs qui opèrent dans des niches métiers.RGPD et entrepreneuriat2020-09-19T00:00:00+00:002020-09-19T00:00:00+00:00https://claustres.com/RGPD-et-entrepreneuriat-francois-claustres-DPO-externe<p>J’ai eu le plaisir d’être interviewé récemment par <a href="https://lilianalvarez.com/podcast/">Lilian Alvarez</a> pour sa chaîne Youtube <a href="https://www.youtube.com/channel/UCt3Yc3ZEch5VkNF5-IUpn0g">Le Podcast Tech</a>.</p>
<p><img src="/images/podcast-tech/image-podcast-jv.jpg" alt="Podcast Tech JeuxVideo.com" title="Podcast Tech JeuxVideo.com" /></p>
<p>J’y parle (un peu) de RGPD et DPO externalisé, mais surtout de quelques unes de mes aventures entrepreneuriales passées: <a href="https://www.jeuxvideo.com/">JeuxVideo.com</a> (mention spéciale pour <a href="https://pissavy.com/">le blog de Sébastien Pissavy</a>), <a href="https://www.madeindesign.com/">MadeInDesign.com</a> et <a href="http://www.ageod.com/">AGE Studio</a>.</p>
<p>Vous pouvez visualiser ce (long) Podcast sur <a href="https://www.youtube.com/watch?v=jvsAC_I83VE">Youtube</a>, ou sur <a href="https://invidious.fdn.fr/watch?v=jvsAC_I83VE">Invidious</a> si vous voulez limiter les traitements de vos données personnelles par Google.</p>
<p>Dommage que nous n’ayons pas eu le temps de parler de la société <strong>Onlymee</strong> qui devait développer le <a href="https://register.epo.org/application?number=EP03740553&tab=main">brevet DCI</a> d’identification certaine et sécurisée dans l’économie numérique.</p>
<p>Nous étions sans doute trop en avance sur notre temps il y a une dizaine d’années, mais cela reste toujours d’actualité comme l’a confirmé encore récemment la Présidente de l’Union Européenne, Madame von der Leyen, avec le <a href="https://ec.europa.eu/commission/presscorner/detail/fr/SPEECH_20_1655">projet d’identité électronique européenne sécurisée</a>.</p>
<p>En fin de compte, c’est cette aventure entrepreneuriale qui m’a fait prendre conscience de la problématique complexe de la protection des données personnelles, et m’a amené à <a href="../accompagnement-rgpd">accompagner depuis 2018 les entreprises dans la conformité RGPD</a>.</p>J’ai eu le plaisir d’être interviewé récemment par Lilian Alvarez pour sa chaîne Youtube Le Podcast Tech.