La CNIL souhaite promouvoir des solutions de cybersécurité conformes au RGPD, tant dans leur usage que dès leur conception. Dans ce but, elle publie une recommandation destinée à accompagner les utilisateurs et les fournisseurs de solutions d'authentification multifacteur. Pourquoi cette recommandation ? La numérisation de l’activité économique – y compris dans le secteur public – s’est accompagnée d’une nette augmentation des menaces cyber, souvent plus efficaces et complexes. Les solutions pour y faire face ont aussi évolué. Pour assurer une sécurité en profondeur, sont désormais mobilisés des technologies mêlant, mutualisation et utilisation d’information diverses, prise de décision automatisée, ou encore analyse du comportement des utilisateurs. Pour accompagner les acteurs du secteur dans le développement de solutions adaptées aux besoins de la protection des données personnelles, la CNIL a initié une démarche autour des solutions de cybersécurité. Un des objectifs est que les solutions, comme l’authentification multifacteur, utiles pour assurer la sécurité d’un système d’information, soient également conformes au RGPD dans leur conception lorsqu’elles reposent sur l’utilisation de données personnelles. Quel est l’objectif de cette recommandation ? La CNIL publie, après consultation publique, une recommandation sur l’authentification multifacteur, dite MFA (multi-factor authentication). Son but est de sécuriser juridiquement les utilisateurs de telles solutions et d’encourager les fournisseurs à intégrer la protection de la vie privée dès la conception de leurs produits ou services. Cette recommandation vise en particulier à éclairer les : sur les conditions dans lesquelles le recours à la MFA est opportun, au regard des besoins de sécurité ; sur le respect des principes du RGPD dans le cadre du recours à la MFA, notamment la détermination d’une base légale, la minimisation des données collectées, les durées de conservation et le respect de l’exercice des droits par les personnes concernées ; sur la détermination de la qualification des acteurs intervenant dans une solution de MFA ; sur le choix des modalités (facteurs d’authentification : connaissance, possession, inhérence) et leurs conditions de conformité au RGPD ; sur les points d’attention relatifs à l’usage du facteur d’inhérence, l’usage de solutions basées sur l’envoi d’un code à usage unique par SMS ou encore l’utilisation de l’équipement personnel des salariés comme facteur de possession Quel est le périmètre de cette recommandation ? Cette recommandation couvre l’authentification au sens strict, et n’a pas vocation à développer les processus liés à la gestion des identités et des accès (par exemple la gestion de comptes, la gestion des droits et des habilitations, etc.). Elle comporte des encadrés explicatifs sur certaines thématiques aux enjeux particuliers, et des exemples pratiques de mise en œuvre vertueuse de l’authentification multifacteur, intégrant la protection de la vie privée dès la conception. À qui s’adresse cette recommandation ? Cette recommandation s’adresse : aux responsables de traitements et aux sous-traitants, notamment à leurs délégués à la protection des données (DPO), aux responsables de la sécurité des systèmes d’information (RSSI) ainsi qu’à leurs équipes ; aux fournisseurs de solutions d’authentification multifacteur. Lire la recommandation Comment cette recommandation a-t-elle été conçue ? Pour élaborer cette recommandation, la CNIL a organisé une consultation sectorielle comportant une série d’auditions avec des acteurs de la sphère publique comme privée pour recueillir de premières observations et interrogations sur l’authentification multifacteur. Elle a ensuite lancé une consultation publique sur un projet de recommandation, consultation qui a permis d’améliorer le projet de recommandation au regard de la réalité du terrain et de l’expérience des acteurs concernés. Les 18 contributions provenant d’acteurs issus de divers secteurs d’activité, ont permis à la CNIL : d’expliciter davantage le périmètre de la recommandation et de le recentrer sur l’objet de celle-ci : l’authentification multifacteur et sa conformité au RGPD ; de revoir la structure pour une meilleure lisibilité (en adoptant le plan classique d’une fiche de registre) ; de clarifier les principaux points incompris ; d’améliorer la recommandation en précisant certains des termes utilisés ; de formaliser une posture claire sur les pratiques communes remontées, sans préjuger du cadre sectoriel applicable.
Ce guide technique permet de comprendre et de détailler la démarche permettant aux organisations d’homologuer leurs systèmes d’information.
Les systèmes d’information sont devenus incontournables dans le fonctionnement des entités publiques et privées. Leurs utilisations détournées peuvent entraîner des risques pouvant avoir des impacts humains, financiers, juridiques ou réputationnels catastrophiques.
La prise en compte et l’acceptation formelle de ces risques par une autorité est appelée « homologation de sécurité » et est réglementaire dans un grand nombre de cas. A travers le guide d’homologation de sécurité, il semblait important de comprendre et de détailler la démarche permettant aux organisations d’homologuer leurs systèmes d’information.
Ce guide s’adresse à toutes les personnes devant réaliser, porter ou accompagner une démarche d’homologation. Co-écrit par l’ANSSI et la DINUM, il se base sur des années d’élaboration et d’accompagnement dans des travaux d’homologation et sur les nombreux retours d’experts de la fonction publique et du secteur privé.
Ce guide se veut abordable dans sa lecture et applicable à tous les systèmes d’information, du plus simple au plus complexe, quelle que soit sa criticité ou son exposition aux sources de risques. Le guide doit être lu comme un support permettant l’homologation de sécurité d’un système d’information, mais n’a pas pour vocation à remplacer une méthode, efficace, déjà en place dans votre organisation.
Dans un monde numérique en constante évolution, le guide de l’homologation de sécurité sera amené à être amélioré régulièrement. Il fait partie de la collection « Gestion des Risques Cyber » permettant de mieux appréhender les risques cyber. Il se complète par des fiches méthodes permettant la prise en compte des typologies de système d’information dans le processus d’homologation.
Source : ANSSI
Après le droit d’accès en 2024, le droit à l’effacement a été choisi par la CNIL et ses homologues européens comme thématique d’investigation au niveau européen pour l’année 2025.
Pour la quatrième année consécutive, la CNIL et plusieurs de ses homologues européens participent à une action coordonnée (coordinated enforcement framework) du Comité européen de la protection des données (CEPD).
Après avoir mené des investigations sur le cloud en 2022, sur la désignation et la fonction des délégués à la protection des données (DPO) en 2023 et sur le respect du droit d’accès en 2024, la CNIL procédera en 2025 à des vérifications portant sur le respect du droit à l’effacement.
Le droit à l’effacement est l’un des droits les plus fréquemment exercés et fait l'objet d'une part très importante des plaintes reçues par la CNIL (37 % en 2024), et plus largement par ses homologues européens.
L’exercice de ce droit permet à une personne de demander à un organisme qu’il supprime ses données personnelles dans les conditions prévues à l’article 17 du RGPD. Il constitue un moyen pour les personnes concernées de maîtriser leurs données.
Pour rappel, les organismes responsables de traitement ont l’obligation de répondre aux demandes de droit d’effacement des personnes (articles 12 et 17 du RGPD).
Les contrôles de la CNIL auront pour objet de vérifier la manière dont le droit à l’effacement est mis en œuvre par les organismes, dont certains sont visés par une plainte reçue par la CNIL.
Les résultats de ces investigations seront partagés avec les homologues européens de la CNIL. La CNIL pourra ensuite, de façon autonome, décider des suites à donner, en adoptant des mesures correctrices, par exemple des mises en demeure ou des sanctions, si des manquements sont constatés. Le CEPD publiera un rapport sur les résultats de cette campagne une fois les actions terminées.
Source : CNIL
Le 5 septembre 2024, la CNIL a sanctionné la société CEGEDIM SANTÉ d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.
Le contexte
La société CEGEDIM SANTÉ édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et en centre de santé. Environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. Ils permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.
Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que, dans le cadre de l'utilisation de l'un de ses logiciels, la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.
Des données pseudonymes et non anonymes
Dans le cadre de son activité, la société propose à un panel de médecins utilisant l’un de ces logiciels d’adhérer à un « observatoire », les données alors collectées sont ensuite utilisées par des clients de la société CEGEDIM SANTÉ, notamment pour mener des études.
Les investigations menées par la CNIL ont permis d’établir que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible.
S’agissant d’un traitement de données personnelles, la société aurait dû disposer d’une autorisation de la CNIL pour les utiliser (article 66.III de la loi Informatique et Libertés).
Pour apprécier le caractère anonyme ou non des données traitées, la formation restreinte s’est attachée à déterminer si les personnes concernées pouvaient être réidentifiées par des moyens raisonnables, comme le prévoient notamment la jurisprudence de la Cour de justice de l’Union européenne et les travaux conduits par les autorités de protection des données au niveau européen (avis 05/2014 sur les techniques d’anonymisation du 10 avril 2014).
En pratique, la formation restreinte a relevé que la société CEGEDIM SANTÉ collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse. Ces données étaient reliées à un identifiant unique pour chaque patient d’un même médecin, permettant de relier entre elles les données transmises successivement par un même médecin concernant ce même patient et de reconstituer ainsi son parcours de soins. Au vu de ces éléments, la formation restreinte a considéré qu’il est possible d’isoler un individu au sein de la base de données de la société et que la société dispose de nombreuses informations particulièrement riches le concernant, ce qui induit un risque de réidentification.
Dans ces conditions, compte tenu de l’existence de l’identifiant unique et de la profondeur des données collectées par la société – et en tenant également compte de la possibilité de combiner les données détenues par la société CEGEDIM SANTÉ avec des données détenues par des tiers – la formation restreinte a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes.
Dès lors, la formation restreinte a considéré que les données traitées par la société CEGEDIM SANTÉ au moins jusqu’en 2022 (date de la fin des contrôles) étaient pseudonymes et non anonymes.
|
Rappel Si les données sont anonymes, alors elles ne sont pas des données personnelles : dans ce cas, la règlementation sur la protection des données n’est pas applicable. À l’inverse, si les données sont pseudonymes, alors la réglementation est applicable. |
Les manquements sanctionnés
Un manquement à l’obligation d’effectuer les formalités préalables dans le domaine de la santé (article 66 de la loi Informatique et Libertés)
La loi Informatique et Libertés (article 66.III) prévoit que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné (article 66.II).
La formation restreinte a considéré que la société ne s’est pas conformée à ces exigences alors qu’elle constituait un entrepôt de données de santé :
- elle n’a formulé aucune demande d’autorisation auprès de la CNIL permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique ;
- elle n’a pas adressé à la CNIL une déclaration de conformité à l’un de ses référentiels.
Un manquement à l’obligation de traiter les données de manière licite (article 5.1.a du RGPD)
La formation restreinte a considéré que la société avait commis un manquement à l’article 5.1.a du RGPD concernant son utilisation du téléservice « HRi » mis en place par l’assurance maladie, qui permet d’accéder à l’historique des remboursements de santé effectués par l’assurance maladie pour un patient sur les douze derniers mois.
La formation restreinte a en effet constaté que la consultation des données issues de ce téléservice par un médecin membre de « l’observatoire » entraînait automatiquement leur téléchargement dans le dossier informatisé du patient, permettant dans le même temps leur aspiration par la société. La formation restreinte a considéré qu’en ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique, la société n’avait pas traité les données de manière licite.
Pour ces deux manquements, la formation restreinte a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ.
La formation restreinte n’a pas prononcé d’injonction de mise en conformité dans la mesure où, depuis le mois de juillet 2024, la société n’est plus responsable du traitement, mais uniquement éditrice du logiciel en cause. Les données recueillies par les médecins ne transitent ainsi plus via la société CEGEDIM SANTÉ, mais alimentent désormais directement une base détenue par une autre société du groupe, qui est devenue responsable de ce traitement.
Source et document intégral : CNIL.fr
Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.
UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs.
La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Le 11 décembre 2023, l’autorité néerlandaise avait prononcé une première amende de dix millions d’euros pour plusieurs manquements à l’information des chauffeurs.
Une coopération avec la CNIL tout au long de la procédure
En application des procédures de coopération entre autorités instaurées par le règlement général sur la protection des données (RGPD), c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations sur ce dossier, UBER ayant son établissement principal aux Pays-Bas.
La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, au moment des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique.
Le manquement retenu
À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF)), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées. Elle conclut à un manquement à l’article 44 du RGPD.
La CNIL a informé les plaignants de cette décision conformément à ce que prévoit le RGPD.
Source et document intégral : CNIL.fr