Protection des données : focus sur les dernières actualités RGPD

Guide pratique RGPD : quelles sont les nouveautés de l’édition 2023 ?

La Commission Nationale Informatique et Libertés (CNIL) a publié le 3 avril 2023 une nouvelle version de son guide pratique RGPD⁽¹⁾. Ce guide s’adresse à l’ensemble des professionnels amenés à utiliser des données personnelles, et rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique. Cette nouvelle version comprend toujours dix-sept fiches thématiques, à l’instar de la dernière version du guide datant de 2018.

Les modifications apportées concernent principalement cinq fiches :

• La fiche n°2, portant sur l’authentification des utilisateurs, prend en compte la nouvelle recommandation relative aux mots de passe et autres secrets partagés adoptée en 2022 par la CNIL. En particulier, elle reprend la notion d’entropie des mots de passe, c’est-à-dire leur niveau d’imprédictibilité et de ce fait, leur capacité de résistance à une attaque. Elle distingue trois cas d’authentifications par mot de passe et établit pour chaque cas un niveau d’entropie : 80 bits pour un mot de passe seul, 50 bits pour un mot de passe lorsque l’authentification permet une restriction d’accès au compte, et 13 bits pour un code de déverrouillage lorsque l’authentification s’appuie sur un matériel détenu par la personne s’identifiant.

• La fiche n°4 informant sur la traçabilité des opérations et la gestion des incidents, prend en compte certaines notions issues de la recommandation relative à la journalisation adoptée en 2021. Pour rappel, la journalisation permet l’enregistrement et la traçabilité des activités métier, des interventions techniques, des anomalies et des évènements liés à la sécurité. Cette fiche insiste également sur la nécessité d’une utilisation appropriée et d’une conservation sécurisée de ces éléments sur une période glissante de six mois à trois ans maximum selon les cas.

• La fiche n°12 relative à l’encadrement des développements informatiques a été enrichie à l’aide du guide RGPD à destination des DSI. Parmi les précautions élémentaires sont ainsi insérées l’intégration de la protection des données (y compris ses exigences en termes de sécurité des données dès la conception), ainsi que le fait d’éviter le recours à des zones de texte libre ou de commentaire.

• La fiche n°15 portant sur la sécurisation des échanges avec d’autres organismes a été actualisée pour tenir compte de l’évolution des pratiques, en ajoutant par exemple une précaution liée au chiffrage des données avant leur enregistrement sur un support physique à transmettre à un tiers.
• Enfin, la CNIL a modifié la fiche n°17 relative au hachage, au chiffrement et à la signature électronique en actualisant les algorithmes à utiliser, en ajoutant une précaution liée à l’utilisation de tailles de clés suffisantes.

En actualisant ce guide, la CNIL renforce ainsi la sécurité des données personnelles tout en prenant en compte les évolutions technologiques mises en place dans les entreprises.

Publication de lignes directrices sur le droit d’accès et la violation de données

Au niveau européen, le Comité européen de la protection des données (CEPD) a publié de nouvelles lignes directrices ⁽²⁾ visant à faciliter la mise en place du RGPD par les entreprises.

La ligne directrice sur la notification des violations de données fournit 4 axes incontournables sur lesquels se baser lors du traitement d’une violation de données à caractère personnel :

• l’évaluation de la violation des données,
• la notification aux autorités compétentes,
• la notification aux clients concernés,
• et enfin, les mesures de remédiation à mettre en œuvre.

La norme applicative clarifie aussi la procédure à suivre par les entreprises localisées en dehors de l’espace économique européen (EEE) mais manipulant les données de ses ressortissants, pour une conformité plus facile de ces acteurs aux exigences RGPD. Elle présente la liste des liens et coordonnées pour déclarer une violation de données auprès de chacune des autorités de l’EEE, ainsi que les langues acceptées.

La ligne directrice sur le droit d'accès aux données personnelles porte sur les obligations de transparence et d'accès aux données personnelles des particuliers conservées par les entreprises. Ces dernières sont contraintes de mettre en place les processus appropriés pour assurer cet accès aux données personnelles. Par ailleurs, le droit d'accès n'est soumis à aucune réserve générale de proportionnalité ; autrement dit, l’entreprise doit fournir les mêmes efforts de restitution des données personnelles, quelle que soit la quantité conservée.

Dans le même temps, les entreprises doivent aussi veiller à ce que l'accès aux données ne porte pas atteinte aux droits et libertés d'autres personnes. Elles doivent si nécessaire, assurer l’omission ou l’illisibilité de certaines informations qui pourraient affecter négativement les droits d'autrui. Par exemple, dans le cas d’un contrat d’assurance collective, lorsqu’un des adhérents souhaite accéder à ses données personnelles, l’entreprise devra rendre illisibles celles  des autres adhérents si  celles-ci figurent dans les documents transmis à ce dernier.

Mise à jour des lignes directrices sur l’autorité chef de file

La ligne directrice sur l’identification de l’autorité compétente mentionne la procédure du « guichet unique », consistant à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Cette ligne directrice répond à un besoin de déterminer l’autorité de contrôle concernée lors d’un traitement transfrontalier de la donnée, et plus particulièrement dans le cas spécifique de responsables conjoints de traitement.

Elle précise ainsi la notion d'établissement principal (lieu de l’administration centrale), permettant l’identification d’un seul responsable de traitement de données par entreprise et par pays. L'autorité de protection des données du pays où se trouve le siège principal d'une société, dite « autorité chef de file », est l'interlocutrice privilégiée pour le dépôt d'une plainte ou pour mener des actions répressives en cas de manquements.

La norme applicative précise qu’un accord de responsabilité conclu entre les responsables conjoints de traitement peut exister, mais ne sera pris en compte par les autorités compétentes que s'il reflète de manière appropriée les rôles respectifs des responsables conjoints de traitement. La ligne directrice précise que cet accord n'est pas suffisant pour déterminer l'autorité compétente en vertu du RGPD ni la capacité de ces autorités à exercer leurs pouvoirs de contrôle et de répression.

Enfin, la ligne directrice sur l'utilisation de la technologie de reconnaissance faciale par les autorités répressives et judiciaires ⁽³⁾ insiste sur la nécessité d'une base légale adéquate et d'une autorisation spécifique pour traiter des données biométriques liées à l'identification des personnes. Elle souligne l'importance d'allouer des ressources suffisantes aux autorités de protection des données, afin de garantir la protection des droits des personnes concernées. Elle met également en garde contre les risques liés aux biais humains dans le traitement des résultats ; elle fait ainsi référence aux préjugés, jugements ou erreurs pouvant survenir lorsqu'une personne interprète ou analyse des données, qui peuvent se manifester dans les algorithmes, les décisions ou les conclusions qui en résultent.

Ces nouvelles publications s’inscrivent dans la continuité de nombreuses normes applicatives liées au RGPD déjà publiées, mais également dans le contexte d’une série de contrôles réalisés par la CNIL en mai 2023, destinés à vérifier le rôle et les moyens confiés aux délégués à la protection des données (DPO). Elles nous permettent dès lors de mettre en lumière les axes d’amélioration de la mise en conformité au RGPD, et peuvent donner quelques pistes concernant les conclusions du prochain rapport d’évaluation de la Commission européenne sur l’application du RGPD, qui pourrait résulter en une potentielle révision de ce règlement.

(1) Guide pratique RGPD - Sécurité des données personnelles (édition 2023) (cnil.fr)

(2) https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf

(3) https://edpb.europa.eu/system/files/2023-05/edpb_guidelines_202304_frtlawenforcement_v2_en.pdf