flash it-ip - Simon Associés

FLASH IT-IP
NOUS AVONS LE PLAISIR DE VOUS COMMUNIQUER CE FLASH IT-IP QUI REPREND L’ACTUALITE MARQUANTE DES MOIS PRECEDENTS
FOCUS
LA COMMERCIALISATION DES DONNEES PERSONNELLES DANS LA LIGNE DE MIRE DE LA CNIL !
Le 12 mai 2016, la CNIL a dévoilé son programme
des contrôles de l’année et annonce réaliser entre
400 et 450 contrôles sur place, sur audition, sur
pièces et en ligne.
Attireront prioritairement l’attention de la CNIL, les
traitements de données à caractère personnel mis
en œuvre dans le cadre :
(i) du Systeme National D’information InterRegimes de l'Assurance Maladie (SNIIRAM) a été
créé en 1999 ;
(ii) du système API-PNR (Advance Passenger
Information-Passenger Name Record) ;
(iii) des activités des courtiers en données (Data
Brokers).
constituer des fichiers structurés et « qualifiés » en
vue d’être (re)vendus.
Toutes les catégories de données personnelles
sont concernées. Il peut aussi bien s’agir de
données d’état civil uniquement que de données
sensibles (telles qu’un numéro de sécurité sociale,
le pays d’origine, la religion ou l’affiliation à un
parti politique), des données financières (telles que
le type de carte de paiement utilisée) ou encore
des données comportementales (telles que les
habitudes de consommation, de déplacement…).
Les fichiers constitués par les Data brokers peuvent
représenter une réelle opportunité pour les
entreprises d’acquérir des données valorisées et
pertinentes.
2. Les points d’attention de la CNIL
Si les deux premières thématiques de contrôle
concernent un nombre restreint de responsables
de traitement, les contrôles réalisés sur les fichiers
des Data Brokers, pourront avoir des impacts plus
importants pour une large partie des entreprises
françaises
et
internationales
tant
la
commercialisation des fichiers de données
personnelles est croissante et s’apparente de plus
en plus à une activité économique réelle des
entreprises.
de
Dans le cadre des contrôles de la CNIL, cette
dernière indique qu’elle veillera particulièrement à
vérifier :
- le respect des obligations de pertinence
des données ;
- l'information et le consentement des
personnes concernées ;
- le respect des droits prévus par la loi
Informatique et libertés ;
- les mesures de sécurité attachées aux
fichiers.
Les Data Brokers sont des intermédiaires faisant le
lien entre les entreprises qui collectent des
données personnelles, et celles souhaitant les
acquérir pour une utilisation dans le cadre de leur
activité économique.
En effet, ces points méritent une attention
particulière
lorsqu’il
s’agit
de
fichiers
commercialisés par les Data Brokers, compte tenu
du fait que la provenance des données est multiple
et variée et que les Data Brokers n’ont aucun
contact direct avec les personnes concernées.
1. Le développement
données
du
courtage
Généralement récupérées depuis internet, les
données sont ensuite classées par catégorie afin de
En telle situation, difficile de s’assurer que ces
dernières ont bien été informées du traitement de
leurs données, d’autant plus que leur
Flash IT-IP – Réseau SIMON Avocats – 20 mai 2016
commercialisation ultérieure au moment de la
collecte initiale pouvait ne pas être prévue.
Les entreprises qui souhaitent acquérir ces fichiers,
doivent par ailleurs, redoubler de vigilance car, en
en faisant l’acquisition et en réutilisant ces
données pour les finalités qu’elles détermineront,
elles seront qualifiées de responsable de
traitement.
Cette qualité fera peser sur elles la responsabilité
sur les données depuis leur collecte initiale.
Cette responsabilité, ne pourrait être limitée,
même par voie contractuelle.
En conséquence, même si le contrat conclu avec le
Data Broker prévoit une garantie en cas de
violation de la règlementation applicable en
matière de protection des données personnelles,
tout manquement, notamment en cas d’absence
de consentement ou d’information de la personne
concernée de la commercialisation et de la
réutilisation de ses données, sera imputable à
cette entreprise. Lui sera alors reproché la
violation des droits des personnes ainsi
qu’éventuellement un détournement de finalité, si
celle qu’elle poursuit n’est pas compatible avec
celle(s) pour la/lesquelle(s) les données ont été
collectées initialement.
Il ne saurait dès lors y avoir de consentement en
cas de silence, de cases cochées par défaut ou
d’inactivité.
Par ailleurs, l’information délivrée à la personne
concernée doit également être précise puisque
doivent notamment lui être indiqués – lorsque les
données ne sont pas collectées directement auprès
d’elle, comme tel est le cas des données contenues
dans les fichiers de Data Brokers - la source d'où
proviennent les données, le cas échéant, une
mention indiquant qu'elles sont issues ou non de
sources accessibles au public ainsi que l’existence
d’un profilage.
Les
contraintes
juridiques
rendent
particulièrement sensibles la commercialisation de
données à caractère personnel par des Data Broker
qui ne sont pas ou peu en mesure de respecter la
règlementation applicable, ce qui a pour
conséquence directe de fragiliser les traitements
mis en œuvres par les entreprises qui achètent ces
données.
En conséquence, si les fichiers des Data Brokers
peuvent se révéler être une vrai mine d’or pour les
entreprises,
leur
utilisation
devra
être
soigneusement limitée et étudiée par les celles
souhaitant les acquérir.
Notons que la réforme européenne du droit des
données personnelles prévoit un cadre stricte pour
le recueil de consentement.
Amira Bounedjoum
Celui-ci devrait être donné par un acte positif clair
par lequel la personne concernée manifeste de
façon libre, spécifique, éclairée et univoque son
accord au traitement de ses données.
SAVE THE DATE !
L'équipe IT/IP organise le mardi 7 juin prochain, à 8h30, un
événement, en partenariat avec l'association DAMA France et
l'éditeur LexisNexis, sur la thématique : "se préparer à la mise
en application du nouveau règlement communautaire sur les
données personnelles".
2
Pour vous inscrire : http://www.simonassocies-data.com/
Attention, le nombre de places est limité !
Flash IT-IP – Réseau SIMON Avocats – Mai 2016
Membres de l’équipe IT-IP
Matthieu Bourgeois
Avocat Associé
[email protected]
Guénola Cousin
Avocate
Docteur en Droit
[email protected]
Amira Bounedjoum
Avocate
[email protected]
Nous attirons votre attention sur le fait que les articles de cette lettre d’information ne sont pas exhaustifs et n’ont pas vocation à
constituer un avis juridique. N’hésitez pas à nous faire part de vos commentaires et/ou questions.
www.simonassocies.com
3
Flash IT-IP – Réseau SIMON Avocats – Mai 2016