Données personnelles Septembre-Octobre 2021

Cette newsletter bimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période septembre-octobre 2021.

Lignes directrices du CEPD sur les limitations au RGPD par le législateur

Le Comité Européen de la Protection des Données a adopté, le 13 octobre 2021, la version finale des Lignes directrices sur les limitations en application de l'article 23 du RGPD, à l’issue d’une consultation publique.

L’article 23 du RGPD introduit la possibilité pour les Etats membres de limiter la portée des obligations et des droits prévus aux articles 12 à 22 (droits des personnes concernées), à l'article 34 (communication à la personne concernée d'une violation), ainsi qu'à l'article 5 (principes relatifs au traitement).

Ces Lignes directrices détaillent les critères d’application de ces limitations au RGPD par le législateur national et européen, les évaluations de proportionnalité et nécessité à respecter, les obligations des responsables de traitement et sous-traitants, les conditions d’exercice des droits des personnes une fois les limitations levées et les conséquences des infractions à l’article 23 du RGPD.

 

Livre blanc de la CNIL sur les données et moyens de paiement

La CNIL a adopté en octobre 2021 le Livre blanc « Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données ».

Ce Livre blanc identifie les points de vigilance juridiques quant à l’application du RGPD en ce qui concerne les nouveaux moyens de paiement, ainsi que les pistes de travail d’accompagnement des professionnels dans ce domaine.

En particulier, ce livre blanc définit la donnée de paiement et ses implications juridiques en matière de protection des données personnelles.

La CNIL préconise plusieurs messages clés dont la préservation de l’anonymat des paiements et du libre choix des moyens de paiement, l’importance d’une protection de la confidentialité des transactions dès la conception, l’importance de la sécurité des données de paiement et introduit un questionnement sur la localisation des données de paiement en Europe.

 

Décrets relatifs aux catégories de données conservées par les opérateurs de communications électroniques et leur durée de conservation

Le décret n° 2021-1361 du 20 octobre 2021 vise à préciser les catégories de données de connexion, définies aux II bis et III de l’article L.34-1 du code des postes et des communications électroniques modifié par la loi n° 2021-998 du 30 juillet 2021, relative à la prévention d'actes de terrorisme et au renseignement, devant être conservées par les opérateurs de communications électroniques.

Il détermine quelles sont les informations relatives à l'identité civile de l'utilisateur, les informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d’un compte, les informations relatives au paiement, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, ainsi que les autres données de trafic et les données de localisation.

Il définit les données de trafic et de localisation comme « les informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission ».

Le décret n° 2021-1363 du 20 octobre 2021 porte injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conserver pour une durée d’un an certaines catégories de données de connexion.

Cette injonction s’applique aux opérateurs de communication électroniques ainsi qu’aux personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique.

Ces décrets sont entrés en vigueur le 21 octobre 2021.

 

Mise en demeure de la société Francetest pour sécurisation insuffisante des données de santé

Par une décision MED-2021-093 du 4 octobre 2021, la Présidente de la CNIL a mis en demeure la société Francetest pour de multiples insuffisances de sécurité des données de santé qu’elle traite pour le compte des pharmacies à l’occasion de tests antigéniques de dépistage à la COVID-19.

Les insuffisances de sécurité constatées concernent notamment l’hébergement de données de santé chez un prestataire ne disposant pas d’un agrément HDS délivré par le ministère des Solidarités et de la Santé, le recours à des processus d’authentification insuffisamment robustes, l’utilisation d’une fonction de hachage faible et une journalisation lacunaire des activités des serveurs.

La décision a été rendue publique compte tenu de la sensibilité des données traitées et de la nécessité d’informer les personnes concernées.

 

Entrée en vigueur de la loi chinoise sur la protection des données personnelles

La loi chinoise sur la protection des données personnelles, communément dénommée « Personal Information Protection Law » (PIPL), adoptée en août 2021, est entrée en vigueur le 1er novembre 2021.

Elle vise à renforcer la confidentialité et sécuriser le stockage des données personnelles des internautes par les entreprises.

Cette loi instaure notamment des principes de limitation des finalités et de minimisation des données et prévoit la désignation de personnes en charge de la protection des données au sein des entreprises.

 

Résolutions 2021 de l’Assemblée mondiale sur la protection de la vie privée

 

L’Assemblée mondiale sur la protection de la vie privée a adopté cinq résolutions à l’occasion de sa 43e réunion annuelle en octobre 2021.

 

Les résolutions adoptées portent sur l’encadrement de l’accès par les gouvernements aux données détenues par le secteur privé, la protection des droits numériques des enfants, le partage de données dans l’intérêt public, l’adoption d’un plan stratégique 2021-2023 portant notamment sur les technologies de surveillance et la mise en place d’un secrétariat indépendant.

retour à la liste
  • LAVOIX - WTR1000
  • LAVOIX - Legal500
  • LAVOIX - IPStars
  • LAVOIX - Patent1000
  • LAVOIX- Leader League Décideurs
Logo ISO UKASCertification ISO 9001:2015 pour l'ensemble des activités de Conseil en Propriété Industrielle et pour tous les bureaux.