Post Image

[ARTICLE ENTIEREMENT REFONDU le 16 septembre 2019] Pourquoi la présente présentation (en BD bien sûr) sur la délibération CNIL du 4 juillet 2019 sur les traceurs ?

Qui avait pris la peine de lire en détail la réforme de la loi CNIL du 20 juin 2018  ? Beaucoup d’entre nous (c’est sûr…).

Mais qui avait pris le temps de lire en détail l’Ordonnance du 12 décembre 2018 portant refonte complète de la loi n°78-17 du 6 janvier 1978 ? (silence pesant en guise de réponse…).

Bref… il n’est pas trop tard pour y remédier… Car, après tout, la loi « CNIL V3 version 2019 » n’est officiellement entrée en vigueur en France que le 1er juin 2019 (juste après la publication du décret d’application du 29 mai 2019).


la délibération CNIL du 4 juillet 2019 sur les traceurs : des surprises ?!?!

Et on y découvre quelques surprises, dans cette loi « CNIL V3 version 2019″… comme la refonte de la transposition en droit français de la Directive 2002/58/CE du  12 juillet 2002 (article 82 de la loi Informatique et Libertés version 2019).

La délibération « traceur » est une vraie surprise dans la mesure où nous sommes nombreux à guetter l’adoption (qui n’en finit pas) du Règlement « e-privacy » dont le premier projet date de janvier 2017.


Manifestement, la CNIL a décidé de ne plus attendre l’arlésienne et a adopté le 4 juillet 2019 une délibération spéciale (et très détaillée) sur les « opérations de lecture ou écriture dans le terminal d’un utilisateur » (ou délibération « traceur » puisque tel est bien le sujet).


Attention, une première publication de la délibération n°2019-093 est intervenue au JO le 18 juillet, puis une seconde « rectificative » le 19 juillet 2019.

Pour mémoire (pour les juristes les plus pointilleux(ses)x, le texte de l’actuel article 82 loi CNIL v3-2019 figurait depuis la réforme de la loi CNIL en 2004 à l’article 32 II 2° :

« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord « consentement » qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle« .

Plutôt qu’un long discours, nous vous avons préparé 1 slide pour saisir en un coup d’oeil le « parcours » législatif de l’article 32 II devenu 82 de la loi « Informatique et Libertés » version 2019.

Vous noterez que l’Ordonnance du 12 décembre 2018 a remplacé « accord » par « consentement« . « Consentement » au sens du RGPD bien sûr !


la délibération CNIL du 4 juillet 2019 sur les traceurs : qui sont les professionnels concernés ?

1) Votre entreprise commercialise des applications mobiles sous iOS ou Android ?

2) Votre entreprise exploite des sites web ouverts au public ?

3) Votre entreprise n’est pas « opérateur de communications électroniques » au sens de la Directive 2002/231 du 7 mars 2002 ?

Si vous avez répondu OUI au point 1) ou au point 2) et même si vous m’avez aucune idée de la réponse à la question 3), nous vous le confirmons : votre entreprise est à 100% concernée par la délibération « traceurs » de la CNIL !!!

Pourquoi ? parce que, pour être accessible à votre public d’internautes/de mobinautes, l’application mobile et/ou le site web votre entreprise UTILISE un réseau de communications électronique (2G/3G/4G/5G ou Internet).

Et grâce à l’un de ces réseaux de communications, votre entreprise peut déposer des « traceurs » dans le terminal des internantes/mobinautes, puis interroger ces mêmes traceurs par la suite…


la délibération CNIL du 4 juillet 2019 sur les traceurs : des traceurs dans un « terminal »

Nombre de professionnel(le)s nous ont posé la question (et d’autres nous la poseront…) : un « terminal » ? C’est défini  dans la Directive 2008/63 du 20 juin 2008 :


Si, pour vous, cette définition, c’est du charabia, remerciez la CNIL qui a pris le temps de vous traduire concrètement ce qu’il faut comprendre par « terminal« .

– …

– Comment ? Non, hélas, cette définition ne peut pas être modifiée contractuellement… (nous aussi, on y avait pensé, mais c’est pas faisable…).


la délibération CNIL du 4 juillet 2019 sur les traceurs : un message clair de la CNIL ?

Oui, le message de la CNIL est clair, très très clair, même : vous, professisonnel(le)s qui utilisez des « traceurs » pour identifier les terminaux de vos « users », oubliez la délibération du 5 décembre 2013 « cookies et autres traceurs » qui est officiellement abrogée par la délibération du 4 juillet 2019.


la délibération CNIL du 4 juillet 2019 sur les traceurs : un message qui concerne (aussi) l’industrie de la publicité ciblée en ligne

La CNIL  avait officiellement fait passer le message le 28 juin 2019 qu’un délai supplémentaire de douze mois de « mise en conformité RGPD » était laissé aux professionnels de la pub ciblée en ligne (« lignes directrices » de la CNIL accessible depuis ce lien).

Ce message de tolérance n’a pas plu à la Quadrature du Net (on se demande bien pourquoi…) qui a attaqué en référé la délibération de la CNIL (voir ici l’article de NextINpact du 2 aout 2019).

Si le référé a été rejeté par le Conseil d’Etat (voir encore Next INpact par Marc Rees du 19 aout 2019), reste l’audience au fond prévue pour ce septembre 2019… A suivre…

Toujours est-il que l’industrie de la pub ciblée en ligne est – évidemment – également visée par cette délibération CNIL du 4 juillet 2019 sur les « traceurs ».


Mais ce n’est pas la seule « industrie » du numérique qui soit impactée : TOUS les traceurs sont concernés, même les « cookies de mesure d’audience ». Les traceurs de TOUS les éditeurs de site web et d’application mobile.

PS : dans la slide ci-dessous, lorsque vous lisez « logiciel applicatif », pensez qu’une application mobile est – sans doute possible – un « logiciel applicatif« .


Bon. On regarde tout ça ? Comme toujours, la présentation détaillée en BD est accessible en fin de post dans le slider.


la délibération CNIL du 4 juillet 2019 sur les traceurs : « traceur » ? Vous avez dit « traceur » ?

Oubliez la litanie (technique, donc pénible) des différents traceurs permettant d’identifier directement un terminal, donc indirectement une personne physique. Cette définition ne prend les cookies en compte que comme une technique parmi d’autres d’identification possible.

Comme dans les projets successifs de Règlement « e-Privacy », la notion de « traceur » est volontairement voulue la plus large possible.

Comprenez le bien, chers lecteurs/lectrices : c’est une volonté politique de l’UE, suivie par la Cour de Justice de l’UE (à Luxembourg) qui,  elle aussi, ne fait qu’appliquer les Directives et les Règlements adoptés à Bruxelles par la Commission et le parlement européens.

Bref, pour le dire en mots simples, est un « traceur » tout procédé technique (logiciel et/ou matériel) permettant d’identifier un terminal en ligne.


Nous vous avons préparé 1 slide pour résumer l’inventaire à la Prévert des exemples que donne la CNIL de ce que peuvent être les traceurs :


la délibération CNIL du 4 juillet 2019 sur les traceurs : les « opérations de lecture ou écriture dans le terminal d’un utilisateur » ?

Si les « traceurs » sont les moyens techniques permettant d’identifier des terminaux en ligne, le vocabulaire utilisé par la CNIL est plus précis encore.

Il s’agit d’encadrer les « opérations de lecture ou écriture dans le terminal d’un utilisateur » par les professionnels.

Fort logiquement, la CNIL distingue :

– « l’inscription d’informations… dans l’équipement terminal d’un utilisateur » (on pense ici tout particulièrement aux [désormais célèbres] cookies ou « témoins de connexion« )

– « l’accès » « à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur » (on pense ici par exemple à la technique dite du « canvas fingerprinting« ).

Pour mémoire, dans le projet v2 de Règlement e-Privacy (octobre 2017), les termes utilisés étaient ceux de « utilisation des capacités de traitement ou de stockage d’un terminal« . Pour les archéologues du droit, vous pouvez vous référer à notre présentation en ligne en support d’une conférence faite à Paris II en février 2018 sur ce sujet précis…

Pour le dire en termes « cookie », il s’agit de la règlementation du dépôt des cookies dans le terminal d’un internaute (smartphone, tablette, ordinateur, etc.) comme de son interrogation par les professionnels via un site web ou une APP mobile, comme  le fait d’être « flashé(e) » en géolocalisation dans un magasin (par une puce RFID ou un « beacon » via la Wi-Fi de votre smartphone…).


la délibération CNIL du 4 juillet 2019 sur les traceurs : le principe du traitement AVEC consentement 

Retenez un principe simple : tout traitement de données personnelles à partir d’un « traceur », quel qu’il soit, est par principe un traitement de données AVEC consentement préalable, éclairé, etc.

A ce principe est ajouté une « exemption » sous conditions: les traceurs de mesure d’audience, nous y reviendrons ci-dessous.

Après le principe et son exemption, la CNIL prévoit 2 dérogations strictes pour utiliser des traceurs SANS consentement (mais avec information préalable). Nous y reviendrons ci-dessous aussi.


Si vous souhaitez réviser ce qu’est un traitement de données AVEC consentement au sens du RGPD, ou comment doivent fonctionner le consentement et le « droit à l’oubli », nous vous invitons  à parcourir la présentation en BD spéciale sur ce sujet en fin de ce post.


la délibération CNIL du 4 juillet 2019 sur les traceurs : pas de consentement global pour des finalités différentes !!!

Pour être certaine de bien se faire comprendre, et en plus du rappel détaillé des dispositions (nombreuses) du RGPD du 27 avril 2016, la CNIL fournit dans sa délibération n°2019-093 une liste incroyablement longue de détails et d’exemples.

Pour les lister tous, il nous a fallu 5 slides !!! En voici 1  parmi les 5 :


la délibération CNIL du 4 juillet 2019 sur les traceurs : l’exemption sous conditions des traceurs de mesure d’audience

2° étape de ce voyage numérique.

Pour les traceurs de « mesure d’audience », le principe reste le « consentement préalable » sauf… si ce traceur remplit l’ensemble des conditions posées par la CNIL.

Et ces conditions sont nombreuses et cumulatives…

Il y en a 6, qui évoquent toutes les principes  RGPD que doit respecter un traitement de données à caractère personnel (finalité, minimisation, durée de conservation, etc.).


Nous n’évoquerons dans cette synthèse qu’une de ces 6 conditions : celle relative à la durée de conservation. Vous trouverez le détail complet de ces conditions dans la présentation en BD en fin de ce post.

Nous vous rappelons juste que si l’une des 6 conditions manque, le traceur de mesure d’audience doit être soumis au régime « AVEC consentement préalable »…


la délibération CNIL du 4 juillet 2019 sur les traceurs : des traceurs SANS consentement (article 6 délibération du 4 juillet 2019) ?

3° et dernière étage de ce voyage numérique au pays des Traceurs…

Oui, les traceurs SANS consentement existent (heureusement !). Car le régime dérogatoire de l’article 6 rappelé par la CNIL dans sa délibération du 4 juillet 2019 existait déjà dans la réforme de  2004 de la loi « Informatique et Libertés ».

Nous en profitons pour vous rappeler que les traitements de données personnelles à des fins de sécurité des systèmes d’information ne requirent pas, dans le RGPD, de demande de consentement préalable (considérant n°49  du RGPD).


La CNIL rappelle simplement que les « traceurs SANS consentement » (mais avec information préalable) sont cantonnés à deux hypothèses (d’interprétation restrictive, évidemment) :


la délibération CNIL du 4 juillet 2019 sur les traceurs : « permettre ou faciliter la communication par voie électronique » ?

Ne cherchez plus : ce sont les traceurs « purement techniques » qui permettent de faciliter fonctionnement technique (la performance/l’efficacité) de la «  communication électronique » laquelle permet de connecter un « user » au site web ou à l’APP mobile.

Sauf – bien entendu – les traceurs permettant de personnaliser l’affichage de publicité qui ne sont pas (ce sont les Tribunaux qui le disent) « purement technique« …

C’était déjà du droit positif pour les sites web (« services de communication au public en ligne » selon la LCEN) depuis l’arrêt « Croque futur » du Conseil d’Etat depuis le 6 juin 2018.

Rien de neuf sous le soleil, donc…


la délibération CNIL du 4 juillet 2019 sur les traceurs : « strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » ???

Le critère, celui-là non plus, n’est pas nouveau, puisqu’il figurait à l’article 5.3 de la Directive 2002/58.

Un « service de communication en ligne au public » ? C’est un site web ou une application mobile.

« à la demande expresse de l’utilisateur » ? La visite de votre site web / l’utilisation de votre APP mobile est OBLIGATOIRE parce que la Loi le veut ? non ? Alors, l’internaute utilise votre APP / site à sa « demande expresse ».


la délibération CNIL du 4 juillet 2019 sur les traceurs : « strictement nécessaire à la fourniture d’un service » web ?

Haaaaaaa… c’est là que ça coince (déjà – j’en ai fait l’expérience fin juillet…) : « strictement nécessaire » ?

Un professionnel peut décider de vous proposer un accès à son « service de communications au public en ligne » avec un traceur de personnalisation pour l’affichage de son site web (ou de son APP) sur votre terminal.

Sans utiliser les données de tiers (juste faire la promotion de ses produits ou services à lui). Il doit juste vous en informer au préalable.


la délibération CNIL du 4 juillet 2019 sur les traceurs : traceur SANS consentement mais avec information préalable !!!

Ici encore, il ne s’agit que d’un rappel (apparemment nécessaire pour la CNIL) des principes du RGPD.

C’est dire si, en septembre 2019, tous les professionnels ne sont pas encore au faît des règles à mettre en oeuvre en la matière  (comme quoi, l’importance des sanctions potentielles ne fait pas tout).


la délibération CNIL du 4 juillet 2019 sur les traceurs : quelle clause pour vos contrats BtoB ?

Nous, chez Constellation, nous proposons des solutions, en plus d’identifier les problèmes juridiques (hélas nombreux en la matière). Alors, quoi écrire ? Voici notre proposition…

Comme disait le Père Ducrasse dans le Youpi Matin des Inconnus, « un brin d’humour ne fait jamais de mal« .

Comme vous le suggère Super-A dans la slide ci-dessous, pour une version plus professionnelle de cette clause, nous contacter…

 


la délibération CNIL du 4 juillet 2019 sur les traceurs : quelle(s) sanction(s) ?

Fini la gaudriole… IL est temps de parler des sanctions en cas de non-respect de cette délibération.

Le risque ? L’interdiction temporaire ou définitive du traitement opéré à partir des traceurs… (ou directement une injonction de la CNIL de cesser le traitement).

RAPPEL : le non-respect d’une injonction CNIL = sanction pécuniaire jusqu’à 4 % du CA de l’entreprise….

Ce n’est pas moi qui le dit, mais la CNIL dans sa délibération (et – accessoirement – la loi CNIL v3 rectifiée 2019).

Vous  rappeler les dispositions pénales en cas de manquement à la loi CNIL v3 (sanctions entièrement ré-écrites par l’ordonnance du 12 décembre 2018) ?

Nous vous invitons à vous référer aux slides ou à aller lire les articles 226-16 à 226-24 du Code pénal (« Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques« ).


la délibération CNIL du 4 juillet 2019 sur les traceurs : encore notre slide de synthèse ?


la délibération CNIL du 4 juillet 2019 sur les traceurs : la présentation en BD intégrale et détaillée dans le slider ci-dessous !

– Marc-Antoine… non… pas 120 slides… tu exagères… qui va lire ça ?

– écoute Benoit… c’est d’la bombe pour les pro, cette délibération CNIL… faut bien les informer, non ?

– (grommellement…)

RGPD – traitement AVEC consentement – consentement – droit à l’oubli (« droit à l’effacement »)

Vu la technicité de la matière (et la longueur de la présentation ci-dessus), il nous est apparu que vous pourriez vouloir réviser quelques principes applicables au « consentement » au sens du RGPD.

Ainsi que les principes du droit à l’oubli…

Tout est résumé dans le slider ci-dessous.

Suivant
PODCAST NoLImitSecu – sécurité des systèmes d’information – de Néandertal à la LPM 2018 [présentation intégrale en BD]