Post Image

[MIS A JOUR LE 6 septembre 2019] Pourquoi la présente présentation (en BD bien sûr) sur la délibération CNIL du 4 juillet 2019 sur les traceurs ?

Qui avait pris la peine de lire en détail la réforme de la loi CNIL du 20 juin 2018  ? Beaucoup d’entre nous (c’est sûr…).

Mais qui avait pris le temps de lire en détail l’Ordonnance du 12 décembre 2018 portant refonte complète de la loi n°78-17 du 6 janvier 1978 ? (silence pesant en guise de réponse…). Bref… il n’est pas trop tard pour y remédier…

Car, après tout, la loi « CNIL V3 version 2019 » n’est officiellement entrée en vigueur en France que le 1er juin 2019 (juste après la publication du décret d’application du 29 mai 2019).

Et on y découvre quelques surprises, dans cette loi « CNIL V3 version 2019″… comme la refonte de la transposition en droit français de la Directive 2002/58/CE du  12 juillet 2002 (article 82 de la loi Informatique et Libertés version 2019).

La délibération « traceur » est une vraie surprise dans la mesure où nous sommes nombreux à guetter l’adoption (qui n’en finit pas) du Règlement « e-privacy » dont le premier projet date de janvier 2017.

Manifestement, la CNIL a décidé de ne plus attendre l’arlésienne et a adopté le 4 juillet 2019 une délibération spéciale (et très détaillée) sur les « opérations de lecture ou écriture dans le terminal d’un utilisateur » (ou délibération « traceur » puisque tel est bien le sujet).


Attention, une première publication de la délibération n°2019-093 est intervenue au JO le 18 juillet, puis une seconde « rectificative » le 19 juillet 2019.

Pour mémoire (pour les juristes les plus pointilleux(ses)x, le texte de l’actuel article 82 loi CNIL v3-2019 figurait depuis la réforme de la loi CNIL en 2004 à l’article 32 II 2° :

« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord « consentement » qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle« .

Dans l’article 82 « nouveau », seul le mot « accord » a été remplacé par le mot « consentement ». A bon entendeur…

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

[ERRATUM et MISE A JOUR DU 6 SEPTEMBRE 2019] Merci à Alexandre Eloy, chef DPO chez Alter Privacy Solutions, de nous signaler une erreur dans notre texte et nos slides : l’article 82 loi CNIL version 2019 concerne « tout abonné ou utilisateur d’un service de communications électroniques« .

Ne sont donc pas visé les « services de communication au public en ligne » (les sites web) au sens de l’article 6 I 1er de la LCEN du 24 juin 2004, mais les « services de communications électroniques » au sens de la Directive 2002/58 (logique).

En droit français, il s’agit de l’article L.32 6° CPCE :

« On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique« .

ATTENTION, cette définition va évoluer dans la mesure où le CPCE va être modifié (en principe) avant l’entrée en vigueur de la Directive (UE) 2018/1972 du 11 décembre 2018 « établissant le code des communications électroniques européen (refonte)« …

L’article 125 (oui, vous avez bien lu) de la Directive 2018/1972 précise « Les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE, … sont abrogées avec effet au 21 décembre 2020« . Bonne lecture…

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Un (petit) récapitulatif sur les dates des lois / ordonnance / décrets qui ont conduit aux textes actuellement en vigueur ?



la délibération CNIL du 4 juillet 2019 sur les traceurs : un message clair de la CNIL ?

Oui, le message de la CNIL est clair, très très clair, même : vous, professisonnel(le)s qui utilisez des « traceurs » pour identifier les terminaux de vos « users », oubliez la délibération du 5 décembre 2013 « cookies et autres traceurs » qui est officiellement abrogée.

Si vous opérez un « service de communications électroniques« , avec par exemple de la publicité ciblée en ligne, vous devriez lire ce qui suit…



la délibération CNIL du 4 juillet 2019 sur les traceurs : un message spécial pour l’industrie de la publicité ciblée en ligne

La CNIl avait « officiellement » fait passer le message le 28 juin 2019 qu’un délai supplémentaire de six mois de « mise en conformité RGPD » était laissé aux professionnels de la pub ciblée en ligne (« lignes directrices » de la CNIL accessible depuis ce lien).

Ce message officiel n’a pas plu à la Quadrature du Net (on se demande bien pourquoi…) qui a attaqué en référé la délibération de la CNIL (voir ici l’article de NextINpact du 2 aout 2019) (vous étiez en vacances, peut-être ?).

Si le référé a été rejeté par le Conseil d’Etat (voir encore Next INpact par Marc Rees du 19 aout 2019), reste l’audience au fond prévue pour ce septembre 2019… A suivre…

Toujours est-il que l’industrie de la pub ciblée en ligne est bien celle visée en tout premier lieu par cette délibération CNIL du 4 juillet 2019 sur les « traceurs ». Mais ce n’est pas la seule. TOUS les traceurs sont concernés, même les « cookies de mesure d’audience ».

Bon. On regarde tout ça ? Comme toujours, la présentation détaillée en BD est accessible en fin de post dans le slider. Et la synthèse illustrée par les slides juste ci-dessous.


la délibération CNIL du 4 juillet 2019 sur les traceurs : « traceurs » ? 

Oubliez la litanie (technique, donc pénible) des différents traceurs permettant d’identifier directement un terminal, donc indirectement une personne physique.

Comme dans les projets successifs de Règlement « e-Privacy », la notion de « traceur » est la plus large possible.

Cette définition ne retient les cookies que comme une (parmi d’autres) des techniques d’identification possible.

Et pour le dire en mots simples, est un traceur tout procédé technique permettant d’identifier un terminal en ligne.

La CNIL prend soin de préciser « quels que soient les systèmes d’exploitation, les logiciels applicatifs (tels que les navigateurs) ou les terminaux utilisés » (article 1er de la délibération n°2019-093).

Je vous ai préparé une slide pour résumer l’inventaire à la Prévert des exemples que donne la CNIL de ce que peuvent être les traceurs :

 


la délibération CNIL du 4 juillet 2019 sur les traceurs : les « opérations de lecture ou écriture dans le terminal d’un utilisateur » ?

Si les « traceurs » sont les moyens techniques permettant d’identifier des terminaux en ligne, le vocabulaire utilisé par la CNIl est plus précis encore. Il s’agit d’encadrer les « opérations de lecture ou écriture dans le terminal d’un utilisateur » par les professionnels.

Fort logiquement, la CNIL distingue :

– « l’inscription d’informations… dans l’équipement terminal d’un utilisateur »

– « l’accès » « à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur« .

Pour le dire en termes « cookie », il s’agit de la règlementation du dépôt des cookies dans le terminal d’un internaute (smartphone, tablette, ordinateur, etc.) comme de son utilisation par les professionnels des « services de communications électronique » (ou le fait d’être « flashé(e) » en géolocalisation dans un magasin (par une puce RFID ou un « beacon » via la Wi-Fi de votre smartphone…).

Pour le dire encore autrement, il s’agit de la règlementation générale par la CNIL de la collecte et du traitement des données personnelles des FAI et des opérateurs télécom (plus certains opérateurs de services de messagerie comme la rappelé la CJUE le 5 juin 2019 dans l’arrêt « SkypeOut »), géolocalisation comprise !


la délibération CNIL du 4 juillet 2019 sur les traceurs : le principe du traitement AVEC consentement 

Retenez un principe simple : tout traitement de données personnelles à partir d’un « traceur », quel qu’il soit, est par principe un traitement de données AVEC consentement préalable, éclairé, etc.

A ce principe est ajouté une « exemption » : les traceurs de mesure d’audience, nous y reviendrons ci-dessous.

Apres le principe et son exemption, la CNIL prévoit 2 dérogations strictes pour utiliser des traceurs SANS consentement (mais avec information préalable). Nous y reviendrons ci-dessous aussi.


Si vous souhaitez réviser ce qu’est un traitement de données AVEC consentement au sens du RGPD, ou comment doivent fonctionner le consentement et le « droit à l’oubli », nous vous invitons  à parcourir ce détail dans la présentation en BD en fin de ce post.

Si vous deviez ne retenir qu’une règle, lisez cette slide :


la délibération CNIL du 4 juillet 2019 sur les traceurs : pas de consentement global pour des finalités différentes !!!

Pour être certaine de bien se faire comprendre, et en plus du rappel détaillé des dispositions (nombreuses) du RGPD sur ces points, la CNIL fournit dans sa délibération n°2019-093 une liste incroyablement longue de détails et d’exemples.

Pour les lister tous, il m’a fallu 5 slides !!! Je vous en livre une parmi les cinq :


la délibération CNIL du 4 juillet 2019 sur les traceurs : l’exemption sous conditions des traceurs de mesure d’audience

Pour les traceurs de « mesure d’audience », le principe reste le « consentement préalable » sauf… si ce traceur remplit l’ensemble des conditions posées par la CNIL.

Et ces conditions sont nombreuses…

Il y en a 6, qui évoquent toutes les principe de conformité RGPD que doit remplir un traitement de données à caractère personnel (finalité, minimisation, durée de conservation, etc.).


Nous n’évoquerons dans cette synthèse qu’une de ces 6 conditions : celle relative à la durée de conservation. Vous trouverez le détail complet de ces conditions dans la présentation en BD en fin de ce post.

Je vous rappelle juste que si l’une des 6 conditions manque, le traceur de mesure d’audience doit être soumis au régime « AVEC consentement préalable »…


la délibération CNIL du 4 juillet 2019 sur les traceurs : des traceurs SANS consentement (article 6 délibération du 4 juillet 2019) ?

Oui, les traceurs SANS consentement existent… Heureusement… Car le régime dérogatoire de l’article 6 imposé par la CNIL dans sa délibération du 4 juillet 2019 existait déjà.

Je vous rappelle que les traitements de données personnelles à des fins de sécurité des systèmes d’information ne requirent pas de demande de consentement préalable dans le RGPD.

La CNIL rappelle simplement que les « traceurs SANS consentement » (mais avec information préalable) sont cantonnés à deux hypothèses (d’interprétation restrictive, évidemment) :


la délibération CNIL du 4 juillet 2019 sur les traceurs : « permettre ou faciliter la communication par voie électronique » ?

Ne cherchez plus : ce sont les traceurs « purement techniques » qui permettent de faciliter un « service de communications électroniques« .

Sauf – bien entendu – les traceurs permettant de personnaliser l’affichage de publicité… C’était déjà du droit positif pour les sites web (« services de communication au public en ligne » selon la LCEN) depuis l’arrêt « Croque futur » du Conseil d’Etat depuis le 6 juin 2018

Rien de neuf sous le soleil, donc…


la délibération CNIL du 4 juillet 2019 sur les traceurs : « strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » ???

Le critère, celui-là non plus, n’est pas nouveau, puisqu’il figurait dans la Directive 2002/58 et dans le Code des Postes et Communications Electroniques (CPCE).

« à la demande expresse de l’utilisateur » ?


la délibération CNIL du 4 juillet 2019 sur les traceurs : « strictement nécessaire à la fourniture d’un service » web ?

Haaaaaaa… c’est là que ça coince (déjà – j’en ai fait l’expérience fin juillet…) : « strictement nécessaire » ?

Un professionnel peut décider de vous proposer un accès à son « service de communications électroniques » avec un traceur de personnalisation. Il doit juste vous en informer au préalable.


la délibération CNIL du 4 juillet 2019 sur les traceurs : traceur SANS consentement mais avec information préalable !!!

Ici encore, il ne s’agit que d’un rappel des principes du RGPD (apparemment nécessaire pour la CNIL…).

C’est dire si, en septembre 2019, tous les professionnels ne sont pas encore au faît des règles à mettre en oeuvre (comme quoi, l’importance des sanctions potentielles ne fait pas tout).


la délibération CNIL du 4 juillet 2019 sur les traceurs : quelle clause pour vos contrats BtoB ?

Nous, chez Constellation, nous proposons des solutions, en plus d’identifier les problèmes juridiques (hélas nombreux en la matière). Alors, quoi écrire ? Voici notre proposition…

Comme disaient les Inconnus par la voix du « Père Ducrasse », « un brin d’humour ne fait jamais de mal« .

Comme vous le suggère Super-A dans la slide ci-dessous, pour une version plus professionnelle de cette clause, nous contacter…

 


la délibération CNIL du 4 juillet 2019 sur les traceurs : quelle(s) sanction(s) ?

Fini la gaudriole… IL est temps de parler des sanctions en cas de non-respect de cette délibération.

Le risque ? L’interdiction temporaire ou définitive du traitement opéré à partir des traceurs… (ou directement une injonction de la CNIL de cesser le traitement).

RAPPEL : le non-respect d’une injonction CNIL = sanction pécuniaire jusqu’à 4 % du CA de l’entreprise….

Ce n’est pas moi qui le dit, mais la CNIL dans sa délibération (et – accessoirement la loi CNIL v3 modèle rectifié 2019).

Vous  rappeler les dispositions pénales en cas de manquement à la loi CNIL v3 (sanctions entièrement ré-écrites par l’ordonnance du 12 décembre 2018) ?

Nous vous invitons à vous référer aux slides ou à aller lire les articles 226-16 à 226-24 du Code pénal (« Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques« ).


la délibération CNIL du 4 juillet 2019 sur les traceurs : je vous remets ma slide de synthèse ?


la délibération CNIL du 4 juillet 2019 sur les traceurs : la présentation en BD intégrale et détaillée dans le slider ci-dessous !

– Marc-Antoine… non… pas 120 slides… tu exagères… qui va lire ça ?

– écoute Benoit… c’est d’la bombe pour les pro, cette délibération CNIL… faut bien les informer, non ?

– (grommellement…)

RGPD – traitement AVEC consentement – consentement – droit à l’oubli (« droit à l’effacement »)

Vu la technicité de la matière (et la longueur de la présentation ci-dessus), il nous est apparu que vous pourriez vouloir réviser quelques principes applicables au « consentement » au sens du RGPD.

Ainsi que les principes du droit à l’oubli…

Tout est résumé dans le slider ci-dessous.

Suivant
PODCAST NoLImitSecu – sécurité des systèmes d’information – de Néandertal à la LPM 2018 [présentation intégrale en BD]