Cookies et autres traceurs : comment mettre votre site web en conformité ?

Explications des lignes directrices de la CNIL du 17 septembre 2020

LE CONTEXTE

Comme vous le savez, le Règlement Général sur la Protection des Données (RGPD) est venu renforcer le régime de la protection des données personnelles dans vos entreprises, vos associations, vos communes, vos cabinets … Mais aussi sur vos pages Internet !

Si la Commission Nation Informatique et Liberté (CNIL) a longtemps était souple sur la mise en application du principe du consentement actif sur l’acceptation du dépôt de cookie, cela a changé depuis la parution de ses lignes directrices en date du 17 septembre 2020.

Ce document a pour objectif de vous énoncer les règles à suivre pour la bonne mise en conformité de votre site.

• À partir de quand puis-je être sanctionné ?

Ces lignes directrices s’appliquent dès aujourd’hui. La CNIL laisse jusqu’à fin mars 2021 aux entités pour se mettre en conformité et prononcer des sanctions. Ce qui ne signifie pas qu’elle n’opérera pas de contrôle avant !

• À qui s’applique-t-il ?

Cela concerne toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci.

• Quel support est concerné ?

Nombreux dispositifs : tablette, smartphone, ordinateur, console jeux vidéo, télévision connectée, véhicule connecté, assistant vocal etc.

DPO-COSIPE réalise des audits Internet à la demande[1], n’hésitez pas si vous avez un doute ! Contactez-nous.

CE QU’IL FAUT FAIRE

Les règles essentielles à retenir sont les suivantes :

• Le refus doit être aussi mis en évidence et aussi simple que l’acceptation.
• L’absence de choix vaut par défaut, refus.
• Il faut pouvoir changer facilement de choix à tout moment.
• La personnalisation de son choix doit être toujours possible et facile.
• Le choix de l’utilisateur doit être conservé pour une durée allant de 6 mois à 13 mois maximum. Passé le délai, le choix doit être réitéré par l’utilisateur.

Exemple de bandeau cookies :

   Il faut toujours être en capacité de fournir la preuve du consentement de l’utilisateur en cas de contrôle.

Point de vigilance : Si plusieurs acteurs contribuent au dépôt des cookies ou traceurs, veuillez contacter votre Délégué à la Protection des Données afin que vous puissiez savoir quoi faire suivant la qualification de ces acteurs (responsable de traitement conjoint ou sous-traitant).

Les cookies exemptés de ces règles :

• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
• les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
•  certains traceurs de mesure d’audience qui sont cumulativement :
  •  strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application pour le compte exclusif de l’éditeur.
  • uniquement utile à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas non plus nécessaires au fonctionnement du service.

CE QU’IL NE FAUT PAS/PLUS FAIRE

Les pratiques à bannir sont les suivantes :

• Vous ne devez plus renvoyer le paramétrage des cookies au paramétrage du navigateur, cela est désormais proscrit.
• Le consentement doit être explicite : la poursuite de la navigation signifie refus.
• Le choix d’accepter ou refuser doit être aussi aisé dans l’un ou l’autre sens : les deux boutons doivent être sous le même format (couleur, taille etc.)
• Et toujours, le refus de cookies ne doit pas impliquer l’arrêt de la navigation ou la sortie du site

Dans tous les cas, n’hésitez pas à contacter DPO-COSIPE pour vous conseiller sur le sujet !

[1] (*) cette prestation est incluse et réalisée régulièrement chez nos clients dont nous sommes DPO.

Suivi des malades Covid – chacun dans son rôle

L’Etat met en œuvre des solutions numériques de luttes contre la pandémie.

La CNIL propose ses recommandations.

l’AFCDP, association représentative des DPO (Délégués à la Protection des Données) dont DPO COSIPE est adhérente reste très vigilante et a publié un communiqué de presse le 15 mai à ce sujet.

DPO-COSIPE veille pour vous  !

Nous avons apprécié l’argumentation de cet article.

Un dispositif conforme au RGPD … Mais qui soulève encore des interrogations

Qui colle bien à notre vision pragmatique du sujet RGPD.

Communiqué de presse – 15 mai 2020

COVID-19 : l’avis de l’AFCDP sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades.

Dans le cadre du déconfinement enclenché ce lundi 11 mai, le Gouvernement a décidé de mettre en place une politique de dépistage du virus COVID-19, qui passe notamment par deux systèmes d’information, “SI-DEP” et “Contact COVID”, mis en vigueur par un décret paru au journal officiel ce mercredi 13 mai. L’AFCDP prend acte de l’application du transfert de données à caractère personnel sur ces systèmes d’informations, reconnaît la pertinence de ce dispositif sensible, mais rejoint la CNIL quant à la nécessité de limiter la quantité et les catégories de données recueillies, leur durée de conservation, et quant au contrôle régulier de ses finalités afin qu’elles respectent le cadre strict prévu par la loi.

Un dispositif conforme au RGPD …

Pour rappel, le Décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions, autorise l’adaptation et la création de traitements de données à caractère personnel destinées à permettre l’identification des chaînes de contamination du virus COVID-19 et à assurer le suivi et l’accompagnement des personnes. Il définit à ce titre les responsables de traitements, les catégories de données traitées, les accès, les destinataires, ainsi que leur durée de conservation et les modalités d’exercice, par les personnes concernées.

En tant qu’association représentative des DPD (Délégués à la Protection des Données, ou DPO pour Data Protection Officer), l’AFCDP a bien sûr suivi de très près ce projet de loi et les décrets d’application liés. Ainsi que la CNIL, l’association reconnaît que le dispositif est conforme au Règlement Européen sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés, et que les engagements en terme de limitation de durée (seulement 3 mois), de limitation d’accès aux données selon les fonctions des membres des “brigades sanitaires”, et de droits d’opposition, d’information, d’accès et de rectification des données, rassurent la profession.

Si vous souhaitez lire ce communiqué de presse dans son intégralité rendez-vous à l’adresse suivante https://afcdp.net/media/documents/CP-AFCDP-SI-COVID-19-vf.pdf

… Mais qui soulève encore des interrogations

Cependant, l’AFCDP alerte sur la nature et la liste des données transmises à ces plateformes. A cet égard il semblerait que les précisions attendues par la Cnil n’aient pas toutes été portées au décret. D’autre part, la pseudonymisation des données pour certains usages, notamment dans le cadre du Health Data Hub (données médicales utilisées à des fins de recherche) n’est pas une anonymisation et rend donc possible une réversibilité avec réidentification.

L’AFCDP rappelle donc la nécessité de garanties plus précises et de contrôles réguliers du respect de la finalité du dispositif, ce qui est d’ailleurs le rôle des DPO dont les missions principales sont d’informer, de conseiller les organisations, de gérer les processus de protection des données, et de réaliser des audits et analyses d’impact.

L’AFCDP, en tant qu’association représentative des DPO, souhaiterait être membre du comité de suivi et de contrôle de ce dispositif, voire même du GIP Health Data Hub. Sachant que le DPO est l’outil prévu par la loi pour assumer la protection des données à caractère personnel, l’association devrait, plus généralement, être systématiquement intégrée dès qu’un sujet concerne les données privées et que la société civile est consultée.

Jean-Marc Tournier pour DPO Cosipe.

Déconfinement : quid de la collecte de données de santé en entreprise ? Le confinement, c’est fini, mais pas la crise sanitaire liée au virus Covid-19. Dans le cadre du déconfinement progressif, vous êtes-vous déjà posé la question des données pouvant être collectées par une entreprise pour parfaire à ses obligations de sécurité en terme sanitaire et d’assurer, en parallèle la reprise de l’activité ?

Nous vous avons recoupé dans cet article, les recommandations de la CNIL sur le sujet ainsi que les droits et obligations du Code du travail.

Quels sont vos droits et obligations en tant qu’employeur vis-à-vis de vos salariés pendant la crise sanitaire ?

L’article L. 4121-1 du Code du travail indique que l’employeur est responsable de la santé physique et mentale et de la sécurité de ses salariés en toute période.

À ce titre et dans un contexte de crise sanitaire, la CNIL précise que l’employeur est légitime à rappeler à ses employés, travaillant au contact d’autres personnes, leur obligation d’effectuer des remontées individuelles d’information en cas de contamination ou suspicion de contamination. Cette information peut être donnée à l’employeur lui-même ou aux autorités sanitaires compétentes. L’objectif est de permettre à l’entreprise d’adapter les conditions de travail.

En revanche, l’entreprise ne peut pas interroger ses salariés sur une potentielle contamination et rechercher d’éventuels symptômes chez un employé et ses proches.

Quels sont vos droits et obligations en tant que salariés vis-à-vis de l’employeur ?

Deux cas sont à distinguer.

1) Le cas du télétravail 

 Par définition, un salarié en télétravail n’a aucun contact avec ses collègues ou du public. Il n’a donc pas à faire remonter à son employeur qu’il est contaminé au virus Covid-19 ou suspecté de l’être précise la CNIL.  L’absence de mise en danger d’autres personnes, les événements en lien avec une éventuelle exposition, particulièrement un arrêt de travail qui en découlerait, doivent être traités conformément à la procédure normale des arrêts de travail.

En revanche, ces mêmes salariés doivent informer leur employeur dans le cas où leur état de santé ne leur permet pas de continuer à effectuer leurs missions.

2) Le cas du travail dans les locaux de l’entreprise et/ou en contact avec le public 

L’employé doit prendre soin de sa santé et de sa sécurité ainsi que de celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle[1]. Par conséquent, rappelle la CNIL, il doit, à chaque fois qu’il a pu exposer une partie de ses collègues au virus, informer son employeur en cas de contamination ou de suspicion de contamination au virus.

La question de la prise de température

La réglementation sur les traitements de données ne s’applique qu’aux traitements automatisés ou aux traitements non automatisés qui permettent de constituer des fichiers. Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel à l’entrée d’un site, sans qu’aucune trace ne soit conservée, ni qu’aucune autre opération ne soit effectuée, ne relève pas de la réglementation en matière de protection des données[2].

Le conseil de DPO Cosipe

Si vous souhaitez relever la température de vos salariés ou de toute personne susceptible d’accéder aux locaux :

1️⃣ Informez les par une note de service via un moyen accessible à tous notamment.

*Des modalités de prise de la température et en particulier sur la norme de température admise et sur les conséquences du dépassement de celle-ci : éviction de l’entreprise, précisions sur les démarches à accomplir (aller chez un médecin etc.), conséquences sur la rémunération du salarié, absence de collecte des données de température par l’employeur.

*Des conséquences en cas de refus de la prise de celle-ci, par exemple, l’interdiction d’accès aux locaux, l’obligation de télétravail dans la mesure du possible etc.

Bon à savoir : cette possibilité de prise de température peut concerner toutes les personnes accueillies dans l’entreprise (salariés, prestataire, client, fournisseurs etc.). Dans ce cas, bien définir sur la note d’information, chaque modalité différente suivant les cas.

2️⃣ Ne conservez JAMAIS les relevés de températures.

3️⃣ Contactez votre DPO DANS TOUS LES CAS avant de mettre en place cette pratique pour vous assurer de sa légalité.

Des questions ? N’hésitez pas à nous écrire à dpo@cosipe.com !

[1] Article L. 4122-1 du Code du travail

[2] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les

Application Stop Covid : nos libertés sont-elles menacées ?

Préambule : Tout le monde l’a bien compris, il s’agit de mettre en œuvre un outil de lutte contre la pandémie liée au virus SARS-COV-2. L’application que l’on installerait, sur la base du volontariat, permettrait d’être averti si nous avons été en présence proche de quelqu’un qui avait lui-même installé l’application et été déclaré malade et testé positif au COVID 19.

Cette application sera efficace si un grand nombre d’utilisateurs l’utilise, et nous pouvons espérer que, pour protéger leur santé et potentiellement la vie de leurs proches, beaucoup le feront.

📱📱📱📱📱📱📱📱📱

Nos libertés sont-elles menacées ?

D’un point de vue RGPD (Règlement Général sur la Protection des Données), cette application va traiter des données personnelles, et rentre donc dans le cadre du règlement européen.

Et lorsque l’on parle de traitement de données personnelles, nous avons l’habitude de nous poser les questions suivantes :

• Finalité du traitement 👉 lutte contre l’épidémie COVID 19.
• Base légale du traitement 👉 mission d’intérêt public.
• Collecte des données 👉 automatique par connexion Bluetooth entre des équipements sur lesquels l’application sera installée de façon volontaire
• Pertinence des données collectées 👉 sont enregistrées la date et l’heure ainsi que le pseudonyme des co-utilisateurs de l’application avec qui nous aurons été en contact proche
• Durée de conservation 👉 durée pendant laquelle nous pouvons être contagieux. À notre connaissance 15 jours.
• Protection des données 👉 le responsable du traitement, l’Etat, s’engage sur la bonne protection des données contre tout vol, piratage ou usage inadéquat.

Application StopCovid, l’avis de DPO Cosipe

Notre avis concernant la finalité de l’application

✔️La finalité de cette application est claire et légitime pour un état qui doit veiller à protéger au mieux ces concitoyens.

Notre avis concernant la collecte des données

✔️La collecte se fait après installation volontaire de l’application par le citoyen. De plus il y a toujours la possibilité de déconnecter le Bluetooth (protocole qui permet la connexion avec les proches) dans certaines circonstances. A noter que compte tenu de la finalité et de la base légale, l’état était en droit de la rendre obligatoire.

✔️La minimisation des données est réelle puisque seul un pseudonyme associé au numéro de l’équipement est stocké. De plus ce pseudonyme change tous les 15 jours.

✔️La durée de conservation limitée au temps d’incubation de la maladie est directement liée à la finalité du traitement.

✔️La protection des données : pilote du projet d’application StopCovid, à la demande du Secrétaire d’Etat chargé du numérique, Cédric O, l’Institut national de recherche en sciences et technologies du numérique (Inria) est accompagné par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur les aspects de sécurité numérique.

💡 La CNIL, Commission Nationale de l’Informatique et des Libertés, saisie par le secrétaire d’Etat chargé du numérique d’une demande d’avis concernant les conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid » au regard des règles françaises et européennes de protection des données à caractère personnel.💡

En bref

À l’instar de l’AFCDP (Association Française des DPO), DPO Cosipe est sereine par rapport à la mise en œuvre de cette application qui apporte toutes les garanties nécessaires quant à la mise en œuvre d’un traitement et la protection des données personnelles telles que nous les préconisons chez nos clients qui nous ont confié la fonction de DPO externe.

En savoir plus sur le sujet StopCovid

Pour creuser le sujet, nous vous conseillons trois articles et rapports intéressants :

1. L’article de Sylvain Staub CEO de DATA LEGAL DRIVE, plateforme SaaS de mise en conformité RGPD pour les PME et les Grands Comptes.

Les gestes barrières que doit respecter StopCovid pour ne pas contaminer nos libertés publiques.

2. Vous pouvez également consulter la rapport de délibération de la CNIL.

« Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée StopCovid »

3. Et le rapport de l’ANSSI sur l’application StopCovid.

Difficile de vous y retrouver dans le jargon juridique du RGPD 😱 ?  Le champ lexical du Règlement Général sur la Protection des données est, on vous le concède, particulièrement pointu. Il est composé d’un vocabulaire très technique, de termes empruntés au domaine juridique, enrichi d’anglicismes, d’acronymes et de sigles. C’est la raison pour laquelle DPO Cosipe vous a préparé ce Cosi glossaire RGPD.

• DONNÉES : une donnée personnelle désigne “une information qui peut se rapporter à une personne physique déjà identifiée ou identifiables”. Parmi les données, on peut identifier les données personnelles (nom, prénom, n° de téléphone, date de naissance…) et les données sensibles (toute information relative à l’origine raciale, aux opinions politiques, à une appartenance syndicale et à la santé…).
• CONFORMITÉ : la conformité RGPD désigne l’état de ce qui présente une adaptation totale au Règlement Général sur la Protection des Données.
• CNIL : la CNIL, la Commission Nationale de l’Informatique et des Libertés est l’autorité de contrôle qui veille au bon respect de la réglementation sur les données personnelles.
• TRAITEMENT : le traitement des données à caractère personnel désigne l’ensemble des processus d’accès, de stockage et de manipulation des données de leur collecte à leur destruction.
• DPO : le DPO, Délégué à la Protection des Données, a pour mission d’assurer la conformité au RGPD et de conseiller le responsable des traitements. Et comme vous le savez, chaque entreprise qui traite des données sensibles est dans l’obligation de nommer un DPO.
• CERTIFICATION : la CNIL définit ainsi la certification “la certification est la procédure, prévue par les articles 42 et 43 du Règlement général sur la protection des données (RGPD), permettant à un professionnel de demander à un organisme tiers d’attester de la conformité de son produit, processus, service ou de ses compétences à des caractéristiques décrites dans un référentiel donné. ” Pour tout savoir sur la certification, rendez-vous sur le site de la CNIL.
• ANONYMISATION : il s’agit d’un procédé qui permet de rendre anonymes les données personnelles. Ainsi, la personne concernée n’est plus identifiable.
• CONFIDENTIALITÉ : l’Organisation Mondiale de Normalisation défini ainsi la confidentialité des données comme “le fait de s’assurer que l’information n’est accessible qu’à ceux dont l’accès est autorisé”.
• CONSENTEMENT : chaque personne est invitée à donner son consentement explicite quant à l’utilisation de ses données personnelles via une déclaration écrite ou orale de la manière la plus claire possible. Dans cette déclaration doivent être précisés : la nature des données collectées, le type de traitement, ses impacts potentiels, le détail des données à transférer ainsi que les risques liés au transfert.
• PORTABILITÉ : le droit à la portabilité désigne la possibilité par une personne de récupérer ses données personnelles. Chacun peut ainsi demander à récupérer ses données personnelles sur toute sorte de plateforme.
• OPPOSITION :  le droit d’opposition vous permet de pouvoir vous opposer au traitement de vos données personnelles en toute circonstance.
• RECTIFICATION : de la même manière, le droit à la rectification vous donne le droit de faire rectifier vos données personnelles inexactes.
• GDPR : General Data Protection Regulation ou le RGPD en anglais.
• RGPD : Règlement Général sur la Protection des Données. Le GDPR en français.

Covid-19 : quid de nos données personnelles face au Coronavirus ?

Coronavirus et collecte des données personnelles au travail : la CNIL nous éclaire

Actuellement la CNIL, la Commission Nationale de l’Informatique et des Libertés, reçoit de nombreuses questions émanant des professionnels et des particuliers concernant les mesures à mettre en place pour lutter contre la propagation du virus Covid-19. Plus particulièrement, les employeurs s’interrogent sur les conditions dans lesquelles les données personnelles de santé collectées peuvent être utilisées.

En effet, les données de santé constituent une catégorie de données personnelles dites sensibles. A ce titre, elles sont protégées par le RGPD et par le Code de la Santé Publique.

Les DO et les DON’T en matière de données protégées de santé

Pouvez-vous soumettre vos salariés à des relevés de température ? Pouvez-vous collecter les informations de questionnaires médicaux auprès de vos employés ? Pouvez-vous inciter vos salariés à communiquer des informations personnelles en lien avec leur éventuelle exposition au COVID-19 ? … Faites le point avec la CNIL sur ce qui est permis et ce qui ne l’est pas.

Dans cet article, découvrez les DO et les DON’T : ce que vous pouvez faire / ce que vous ne pouvez pas faire dans ce contexte de crise sanitaire.

Consultez cet article éclairant dans sa globalité sur le site de la CNIL.

Evaluez votre niveau en matière de RGPD

DPO Cosipe vous invite à découvrir le Community Quiz DPO.

Le quiz DPO est un test de connaissances 100 % gratuit, 100 % anonyme et 100 % collaboratif destiné à vous préparer à la « certification de compétences DPO » ou à tester vos connaissances.

Le quiz DPO est une création d’IMPACT RGPD, un organisme de formation lyonnais spécialisé dans le RGPD.

Un test pour mieux appréhender le RGPD

A qui s’adresse ce quiz DPO ?

Que vous soyez DPO, étudiant en Protection des Données Personnelles, chef d’entreprise ou encore salarié concerné par le traitement des données, ce test peut vous intéresser.

Grâce à lui, vous pouvez :

• Faire le point sur vos connaissances en matière de Règlement Général sur la Protection des Données à travers une série de questions.
• Vérifier vos résultats.
• Vous avez même la possibilité de participer à la communauté en créant de nouvelles questions !

Testez-vous avec le quiz DPO ! 

Un QCM basé sur le référentiel de la CNIL

Ce quiz DPO a été élaboré à partir des référentiels de la CNIL sur l’évaluation des Data Privacy Officers. Il s’agit d’une ressource intéressante pour vous former de manière ludique à la certification DPO. D’un outil idéal pour sensibiliser vos collaborateurs de manière fun. Grâce à ce QCM, vous pouvez facilement :

• Evaluer votre niveau de connaissance sur le RGPD,
• Vous entraîner à la certification de DPO,
• Entrer dans la communauté de Community Quiz DPO.

Le cabinet DPO Cosipé est implanté à Jassans-Riottier, une charmante commune située en bord de Saône, dans le département de l’Ain. Ravi d’y être localisé et de participer au rayonnement économique de ce magnifique département, DPO Cosipé affiche fièrement le label Origin’Ain.

Vous souhaitez en savoir plus sur ce label ? Vous êtes intéressé par cette démarche ?  Nous vous invitons à vous rendre sur le site web d’Origin’Ain.