Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.
Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.
Attireront prioritairement l’attention de la CNIL, les traitements de données à caractère personnel mis en œuvre dans le cadre :
(i) du Système National D’information Inter-Régimes de l’Assurance Maladie (SNIIRAM) a été créé en 1999 ;
(ii) du système API-PNR (Advance Passenger Information-Passenger Name Record) ;
(iii) des activités des courtiers en données (Data Brokers).
Si les deux premières thématiques de contrôle concernent un nombre restreint de responsables de traitement, les contrôles réalisés sur les fichiers des Data Brokers, pourront avoir des impacts plus importants pour une large partie des entreprises françaises et internationales tant la commercialisation des fichiers de données personnelles est croissante et s’apparente de plus en plus à une activité économique réelle des entreprises.
1. Le développement du courtage de données
Les Data Brokers sont des intermédiaires faisant le lien entre les entreprises qui collectent des données personnelles, et celles souhaitant les acquérir pour une utilisation dans le cadre de leur activité économique.
Généralement récupérées depuis internet, les données sont ensuite classées par catégorie afin de constituer des fichiers structurés et « qualifiés » en vue d’être (re)vendus.
Toutes les catégories de données personnelles sont concernées. Il peut aussi bien s’agir de données d’état civil uniquement que de données sensibles (telles qu’un numéro de sécurité sociale, le pays d’origine, la religion ou l’affiliation à un parti politique), des données financières (telles que le type de carte de paiement utilisée) ou encore des données comportementales (telles que les habitudes de consommation, de déplacement…).
Les fichiers constitués par les Data brokers peuvent représenter une réelle opportunité pour les entreprises d’acquérir des données valorisées et pertinentes.
2. Les points d’attention de la CNIL
Dans le cadre des contrôles de la CNIL, cette dernière indique qu’elle veillera particulièrement à vérifier :
- le respect des obligations de pertinence des données ;
- l’information et le consentement des personnes concernées ;
- le respect des droits prévus par la loi Informatique et libertés ;
- les mesures de sécurité attachées aux fichiers.
En effet, ces points méritent une attention particulière lorsqu’il s’agit de fichiers commercialisés par les Data Brokers, compte tenu du fait que la provenance des données est multiple et variée et que les Data Brokers n’ont aucun contact direct avec les personnes concernées.
En telle situation, difficile de s’assurer que ces dernières ont bien été informées du traitement de leurs données, d’autant plus que leur commercialisation ultérieure au moment de la collecte initiale pouvait ne pas être prévue.
Les entreprises qui souhaitent acquérir ces fichiers, doivent par ailleurs, redoubler de vigilance car, en faisant l’acquisition et en réutilisant ces données pour les finalités qu’elles détermineront, elles seront qualifiées de responsable de traitement.
Cette qualité fera peser sur elles la responsabilité sur les données depuis leur collecte initiale.
Cette responsabilité, ne pourrait être limitée, même par voie contractuelle.
En conséquence, même si le contrat conclu avec le Data Broker prévoit une garantie en cas de violation de la règlementation applicable en matière de protection des données personnelles, tout manquement, notamment en cas d’absence de consentement ou d’information de la personne concernée de la commercialisation et de la réutilisation de ses données, sera imputable à cette entreprise. Lui sera alors reproché la violation des droits des personnes ainsi qu’éventuellement un détournement de finalité, si celle qu’elle poursuit n’est pas compatible avec celle(s) pour la/lesquelle(s) les données ont été collectées initialement.
Notons que la réforme européenne du droit des données personnelles prévoit un cadre stricte pour le recueil de consentement.
Celui-ci devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données.
Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.
Par ailleurs, l’information délivrée à la personne concernée doit également être précise puisque doivent notamment lui être indiqués – lorsque les données ne sont pas collectées directement auprès d’elle, comme tel est le cas des données contenues dans les fichiers de Data Brokers – la source d’où proviennent les données, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ainsi que l’existence d’un profilage.
Les contraintes juridiques rendent particulièrement sensibles la commercialisation de données à caractère personnel par des Data Broker qui ne sont pas ou peu en mesure de respecter la règlementation applicable, ce qui a pour conséquence directe de fragiliser les traitements mis en œuvres par les entreprises qui achètent ces données.
En conséquence, si les fichiers des Data Brokers peuvent se révéler être une vrai mine d’or pour les entreprises, leur utilisation devra être soigneusement limitée et étudiée par les celles souhaitant les acquérir.