Comme chaque année, la Commission nationale de l’informatique et des libertés (Cnil) a publié son programme annuel des contrôles. Ce dernier lui permet de porter à la connaissance du public et des entités les grandes thématiques de contrôle pour l’année 2019.
La Cnil a identifié trois thématiques sur lesquelles elle concentrera son action de contrôle : le respect des droits des personnes, le traitement des données des mineurs et la répartition des responsabilités entre responsables du traitement et sous-traitants. La Cnil indique toutefois que le programme annuel ne représente qu’environ un quart des contrôles et que ces derniers peuvent avoir d’autres origines, comme les réclamations des personnes concernées.
Mathias Avocats vous en dit plus sur ces thématiques.
Le respect des droits des personnes
Selon le rapport annuel 2018 de la Cnil, 73% des plaintes reçues en 2018 portaient sur le non-respect d’un droit consacré par la réglementation relative à la protection des données.
La Cnil a annoncé qu’une partie de ses contrôles concernera l’exercice réel et effectif de ces droits. Notamment, elle s’assurera qu’une réponse claire et complète est apportée aux personnes concernées dans le respect des délais imposés.
Rappelons que les droits dont il s’agit ici sont le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition et le droit de définir des directives générales ou spécifiques relatives au sort de ses données après son décès. Ces droits sont listés aux articles 15 à 22 du Règlement général sur la protection des données (RGPD) et aux articles 48 à 56 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Les modalités d’exercice de ces droits sont précisées aux articles 77 à 81 du décret n° 2019-536 du 29 mai 2019.
Pour s’assurer que les personnes puissent effectivement exercer leurs droits, le responsable du traitement doit mettre en place certaines mesures.
Dans un premier temps, il conviendra de s’assurer que les mentions d’information sont portées à la connaissance des personnes concernées (articles 12 à 14 du RGPD). Ce mentions doivent notamment comprendre la liste des droits dont bénéficient les personnes concernées ainsi qu’un moyen de contacter le responsable du traitement pour les exercer.
Ensuite, il convient également que le responsable du traitement ait défini une procédure lui permettant de traiter les demandes. Celle-ci doit notamment lui permettre d’assurer la remontée de la demande reçue au service compétent et d’apporter une réponse à chaque type de demande. De plus, le responsable doit s’assurer d’être en mesure de répondre dans les délais imposés. Il dispose en effet d’un mois à compter de la demande. Par exception, ce délai peut être prolongé de deux mois dans certaines hypothèses (article 12, 3 du RGPD).
Le traitement des données des mineurs
Outre le fait qu’ils puissent être considérés comme des « personnes vulnérables » (considérant 75 du RGPD), les mineurs bénéficient d’une protection spécifique. Le considérant 38 du RGPD précise en effet qu’ils « peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».
La Cnil a identifié quatre enjeux en la matière : le recueil du consentement des mineurs, la publication de contenus sur les réseaux sociaux, les traitements biométriques et la vidéosurveillance dans les établissements scolaires.
Quelles sont les règles à respecter pour le recueil du consentement des mineurs ?
Le recueil du consentement des mineurs est encadré de manière plus spécifique par le RGPD en cas « d’offre directe de services de la société de l’information » (article 8 du RGPD). Le RGPD renvoie à la directive 2015/1535 qui définit ces services comme « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services » (article 1, 1, b) de la directive 2015/1535). Dans ce cadre, le consentement du mineur ne peut être recueilli que lorsque le mineur est âgé de plus de 15 ans (article 45 de la loi n°78-17). Si le mineur a moins de 15 ans, le consentement des personnes titulaires de l’autorité parentale doit être recueilli.
Rappelons que cette protection spécifique ne s’applique que lorsque le traitement :
- a pour base légale le consentement ;
- concerne une offre directe de « services de la société de l’information» ;
- proposée directement à un mineur. Dans ses lignes directrices sur le consentement, le Groupe de travail de l’article 29 (G29) précise que s’il est clairement indiqué que les services ne sont pas destinées à un mineur et que par ailleurs, rien sur le site ne le contredit, alors cette protection spécifique ne s’applique pas.
Dès lors, en pratique, le responsable du traitement devra mettre en place des moyens techniques afin de s’assurer que la personne qui donne son consentement a au moins 15 ans ou, le cas échéant, est titulaire de l’autorité parentale sur la personne concernée.
L’information spécifique aux mineurs
Il est précisé à l’article 12, 1 du RGPD que l’information délivrée à la personne concernée doit notamment être rédigée « en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ». Sur ce point, le G29 rappelle dans ses lignes directrices sur l’obligation de transparence adoptées le 11 avril 2018 que cette obligation s’applique y compris si le consentement a été donné par le titulaire de l’autorité parentale et non directement par le mineur.
Le droit à l’effacement renforcé pour les mineurs
L’article 51, II de la loi Informatique et Libertés consacre un droit à l’effacement spécifique au profit des mineurs.
Les personnes concernées peuvent demander l’effacement de leurs données à caractère personnel « collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure ». Une fois la demande reçue, ces données doivent être effacées « dans les meilleurs délais ». En l’absence de réponse du responsable du traitement ou en cas de réponse négative dans un délai d’un mois, les personnes concernées peuvent saisir la Cnil qui se prononcera dans un délai de trois semaines.
Les traitements biométriques dans les établissements scolaires
Les données biométriques sont définies comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4, 14 du RGPD).
En 2006, la Cnil avait élaboré une autorisation unique pour la mise en place de dispositifs de reconnaissance du contour de la main pour l’accès aux cantines scolaires. Depuis l’entrée en application du RGPD, la mise en place de ce type de dispositif n’est plus soumise à l’autorisation de la Cnil. Toutefois, les données biométriques étant une catégorie particulière de données à caractère personnel, leur traitement est soumis à des conditions plus strictes.
Dès lors, la mise en œuvre d’un tel traitement n’est possible que si le responsable du traitement s’inscrit dans l’une des exceptions de l’article 9, 2 du RGPD. Par ailleurs, il devra s’assurer du respect de toutes les autres obligations mises à sa charge par la réglementation.
A noter que dans sa liste d’opérations de traitement pour lesquelles une analyse d’impact sur la protection des données (AIPD) est requise, la Cnil mentionne expressément le contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main.
Quid des dispositifs de vidéosurveillance dans les établissements scolaires ?
La Cnil précise dans une fiche pratique les règles à respecter pour la mise en place de dispositifs de vidéosurveillance dans les établissements scolaires. Notamment, elle rappelle les points de vigilance quant aux personnes habilitées à accéder aux images, aux horaires pendant lesquelles les caméras sont utilisées ou encore à la durée de conservation des images (par principe, un mois maximum).
S’agissant des dispositifs de vidéoprotection, rappelons que le Code de la sécurité intérieure impose la mise en place d’un panneau d’information pour signaler l’existence dudit dispositif. Toutefois, ce panneau ne peut se substituer à une information complète des personnes concernées relative au traitement mis en œuvre.
Dans certaines hypothèses, la Cnil et les autres autorités européennes envisagent que l’information soit délivrée « à deux niveaux ». Dans cette optique, un tel panneau d’information pourrait constituer un premier niveau d’information et renvoyer à une mention complète. Celle-ci devra être communiquée aux personnes concernées, par exemple par la remise d’un document à l’accueil de l’établissement, par voie d’affichage dans les locaux ou encore par une communication spécifique.
La répartition des responsabilités entre les responsables du traitement et les sous-traitants
Depuis l’entrée en application du RGPD, les sous-traitants ont de nouvelles obligations en matière de protection des données à caractère personnel.
La Cnil a annoncé qu’elle contrôlera à ce titre « l’existence et le respect du contrat de sous-traitance ».
L’existence d’un contrat de sous-traitance
L’article 28 du RGPD impose que la sous-traitance soit encadrée. A ce titre, il est possible de conclure un contrat dédié à la sous-traitance, mais aussi de simplement inclure des clauses relatives à la protection des données dans un contrat plus large. L’article 28 n’impose pas d’obligation de conclure de contrats distincts et prévoit simplement les éléments devant obligatoirement être stipulés.
Il est fréquent qu’au cours d’un contrôle, qu’il soit sur place ou sur pièces, la Cnil sollicite la communication de ces contrats.
La Cnil pourra donc contrôler à ce titre :
- L’existence d’un contrat ou de clauses encadrant le sous-traitance ;
- La conformité du contenu de ce contrat ou de ces clauses au regard de l’article 28.
Pour aider les entités, la Cnil a publié un guide du sous-traitant comprenant un modèle de clauses.
Quel contrôle par la Cnil du respect du contrat ?
La Cnil a annoncé qu’elle contrôlera également le respect du contrat. Toutefois, les modalités de ce contrôle posent question. Dans quelle mesure la Cnil pourra-t-elle mesurer l’exécution par les parties de leurs obligations contractuelles ? Les parties pourront-elles s’appuyer sur un procès-verbal de la Cnil pour engager la responsabilité contractuelle de leur cocontractant ?
Enfin, on peut s’interroger sur le fait que la Cnil n’a pas inclus le contrôle des accords conclus entre les responsables conjoints au titre de l’article 26 du RGPD. En effet, ces accords constituent l’une de nouvelles obligations instituées par le RGPD.
Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.