webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La commercialisation des données personnelles dans la ligne de mire de la CNIL !

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Attireront prioritairement l’attention de la CNIL, les traitements de données à caractère personnel mis en œuvre dans le cadre :

(i) du Système National D’information Inter-Régimes de l'Assurance Maladie (SNIIRAM) a été créé en 1999 ;
(ii) du système API-PNR (Advance Passenger Information-Passenger Name Record) ;
(iii) des activités des courtiers en données (Data Brokers).

Si les deux premières thématiques de contrôle concernent un nombre restreint de responsables de traitement, les contrôles réalisés sur les fichiers des Data Brokers, pourront avoir des impacts plus importants pour une large partie des entreprises françaises et internationales tant la commercialisation des fichiers de données personnelles est croissante et s’apparente de plus en plus à une activité économique réelle des entreprises.

1. Le développement du courtage de données

Les Data Brokers sont des intermédiaires faisant le lien entre les entreprises qui collectent des données personnelles, et celles souhaitant les acquérir pour une utilisation dans le cadre de leur activité économique.

Généralement récupérées depuis internet, les données sont ensuite classées par catégorie afin de constituer des fichiers structurés et « qualifiés » en vue d’être (re)vendus.

Toutes les catégories de données personnelles sont concernées. Il peut aussi bien s’agir de données d’état civil uniquement que de données sensibles (telles qu’un numéro de sécurité sociale, le pays d’origine, la religion ou l’affiliation à un parti politique), des données financières (telles que le type de carte de paiement utilisée) ou encore des données comportementales (telles que les habitudes de consommation, de déplacement…).

Les fichiers constitués par les Data brokers peuvent représenter une réelle opportunité pour les entreprises d’acquérir des données valorisées et pertinentes.

2. Les points d’attention de la CNIL

Dans le cadre des contrôles de la CNIL, cette dernière indique qu’elle veillera particulièrement à vérifier :

  • le respect des obligations de pertinence des données ;
  • l'information et le consentement des personnes concernées ;
  • le respect des droits prévus par la loi Informatique et libertés ;
  • les mesures de sécurité attachées aux fichiers.

En effet, ces points méritent une attention particulière lorsqu’il s’agit de fichiers commercialisés par les Data Brokers, compte tenu du fait que la provenance des données est multiple et variée et que les Data Brokers n’ont aucun contact direct avec les personnes concernées.

En telle situation, difficile de s’assurer que ces dernières ont bien été informées du traitement de leurs données, d’autant plus que leur commercialisation ultérieure au moment de la collecte initiale pouvait ne pas être prévue.

Les entreprises qui souhaitent acquérir ces fichiers, doivent par ailleurs, redoubler de vigilance car, en faisant l’acquisition et en réutilisant ces données pour les finalités qu’elles détermineront, elles seront qualifiées de responsable de traitement.

Cette qualité fera peser sur elles la responsabilité sur les données depuis leur collecte initiale.

Cette responsabilité, ne pourrait être limitée, même par voie contractuelle.

En conséquence, même si le contrat conclu avec le Data Broker prévoit une garantie en cas de violation de la règlementation applicable en matière de protection des données personnelles, tout manquement, notamment en cas d’absence de consentement ou d’information de la personne concernée de la commercialisation et de la réutilisation de ses données, sera imputable à cette entreprise. Lui sera alors reproché la violation des droits des personnes ainsi qu’éventuellement un détournement de finalité, si celle qu’elle poursuit n’est pas compatible avec celle(s) pour la/lesquelle(s) les données ont été collectées initialement.

Notons que la réforme européenne du droit des données personnelles prévoit un cadre stricte pour le recueil de consentement.

Celui-ci devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données.

Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Par ailleurs, l’information délivrée à la personne concernée doit également être précise puisque doivent notamment lui être indiqués – lorsque les données ne sont pas collectées directement auprès d’elle, comme tel est le cas des données contenues dans les fichiers de Data Brokers - la source d'où proviennent les données, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public ainsi que l’existence d’un profilage.

Les contraintes juridiques rendent particulièrement sensibles la commercialisation de données à caractère personnel par des Data Broker qui ne sont pas ou peu en mesure de respecter la règlementation applicable, ce qui a pour conséquence directe de fragiliser les traitements mis en œuvres par les entreprises qui achètent ces données.

En conséquence, si les fichiers des Data Brokers peuvent se révéler être une vrai mine d’or pour les entreprises, leur utilisation devra être soigneusement limitée et étudiée par les celles souhaitant les acquérir.

VOIR AUSSI

Partage de responsabilité entre acteurs d’un traitement de données personnelles : l’article 82 du RGPD

Article 82 du Règlement Général sur la Protection des Données

- Vu : 2454

L’article 82 du RGPD confirme le principe du droit à réparation issu de la Directive 95/46/CE (non transposée en droit français) et le précise en 6 paragraphes, fixant ainsi les principes directeurs gouvernant désormais la réparation du préjudice subi par toute personne résultant d’une violation du Règlement.

> Lire la suite

Du nouveau dans les dispositifs d'alerte professionnelle !

Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005

- Vu : 1462

La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 8764
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 7796
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6261
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5764
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©