Quels sont les sujets incontournables de l’été pour les DPO ?

Le premier semestre 2022 a été particulièrement riche en actualité en matière de protection des données personnelles. L’un des sujets essentiels concerne les transferts internationaux par le prisme de l’utilisation des Google Analytics.

Proxyfication ?

En effet, Noyb a déposé en avril dernier 101 plaintes concernant des transferts de données de sites web basés dans l'Espace économique européen vers Google LLC et Facebook Inc. aux États-Unis, plaintes qui ont été suivies par plusieurs décisions d’autorités de contrôle européenne soulignant les risques de non-conformité de Google Analytics. D’abord en Autriche puis en France, en Italie et au Danemark. D’autres décisions d’autorités de contrôle européennes sont encore attendues.

À ce titre, l’un des chantiers de la rentrée pour le DPO sera d’envisager la mise en conformité des outils de mesures d’audience des sites de son entreprise ou de son organisation. Sujet complexe qui nécessite aussi une vision d’ensemble des enjeux.  

La Cnil a publié un communiqué évoquant une solution de conformité possible mais dont la mise en œuvre reste complexe, avec le concept de proxyfication. Cette solution consiste à utiliser un serveur mandataire (ou “proxy”) pour éviter tout contact direct entre le terminal de l’internaute et les serveurs de l’outil de mesure (autrement dit de Google). Ces mesures doivent cependant prendre en compte les prérequis de la Cnil et de l’EDPB (Comité européen de la protection des données), notamment ses recommandations de juin 2021.

C’est-à-dire qu’il faudra veiller à l’absence de transfert de l’adresse IP de l’utilisateur vers les outils de mesure d’audience ou encore supprimer toute mesure permettant une réidentification. Un chantier à mener de front avec les différents acteurs impliqués, avec un rôle clé pour le DPO, au vu de l’actualité de ce dossier.

Sécurité

En lien avec ces problématiques de transferts internationaux, la question de la sécurité des données reste d’une actualité brûlante d’autant plus que la Cnil en avait fait un sujet prioritaire pour son programme de contrôle en 2021.

En ce sens, début juillet, la Cnil a émis quinze mises en demeure à l’encontre de sites web insuffisamment sécurisés. Elle n’a pas publié ces mises en demeure mais a insisté sur les manquements suivants : l’insuffisance de chiffrement des données, l’absence de protection satisfaisante des comptes utilisateurs notamment le défaut de dispositifs permettant de tracer les connexions anormales, le défaut de robustesse des mots de passe et de procédures de renouvellement des mots de passe. Le délai de mise en conformité devrait prendre fin début octobre 2022, d'éventuelles sanctions en la matière pourraient être prononcées d’ici la fin de l’année.

Ces mises en demeure doivent faire l’objet d’une attention forte et ce communiqué fournit (une nouvelle fois) la trame d’une méthode de travail en matière de sécurité des données personnelles pour les DPO. Enfin, de nombreux sujets demeurent à suivre d’ici la fin d’année 2022, avec le futur accord remplaçant le Privacy Shield, l’entrée en application du Data Governance Act en septembre 2023 et son articulation avec le RGPD ou encore les sujets des caméras intelligentes et de la géolocalisation…. Nous aurons l’occasion d’y revenir.

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.