Cybersécurité : la CNIL accroît sa vigilance en matière de protection des données personnelles
- Par jurisactuubs
- Le 22/01/2024
- Dans Dossier spécial (2023) : Cybersécurité et droit
- 0 commentaire
es derniers mois, la CNIL, autorité administrative indépendante chargée de veiller à la protection des données personnelles, se veut très sévère envers de grandes entreprises, en les condamnant au paiement de lourdes amendes. Tel est par exemple le cas pour le géant du numérique Microsoft, ou encore le réseau social TikTok.
D’un côté, Microsoft Ireland Operations Limited a été sanctionné le 19 décembre par la CNIL à hauteur de 60 millions d’euros, notamment « pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter »[1]. Pour les mêmes raisons, TikTok a, pour sa part, été sanctionné à hauteur de 5 millions d’euros le 29 décembre 2022. La CNIL précise cependant ici que les utilisateurs « n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies »[2].
Avant tout, un petit rappel s’impose. Tout d’abord, qu’est-ce qu’un cookie ? La CNIL définit le cookie comme étant « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine »[3]. Plus précisément, les cookies ont pour objectif de mémoriser les données personnelles des utilisateurs des sites web concernés.
De ce fait, qu’est-ce qu’une donnée personnelle ? Tout simplement, une donnée personnelle peut s’apparenter à « toute information se rapportant à une personne physique identifiée ou identifiable »[4].
D’un point du vu institutionnel, il paraît également pertinent d’effectuer quelques rappels. La Loi Informatique et Liberté du 6 janvier 1978 instaure une réglementation quant au traitement des données personnelles. De ce fait, elle assure une protection de la vie privée des individus et de leurs données à caractère personnel. À côté, le RGPD (Règlement Général sur la Protection des Données), quant à lui, s’inscrit dans la continuité de la Loi Informatique et Libertés. Il encadre le traitement des données personnelles sur le territoire de l’Union européenne. Enfin, la CNIL (Commission Nationale de l’Informatique et des Libertés) a été créée par la loi Informatique et Libertés du 6 janvier 1978. Cette autorité indépendante, est chargée de veiller à la protection des données personnelles. En outre, elle a pour objectif de veiller au respect du RGPD.
Pour en revenir aux récentes sanctions infligées par la CNIL, ces dernières sont justifiées par un manquement à la loi Informatique et Libertés, et notamment à l’article 82 de celle-ci qui dispose que tout utilisateur doit être informé de manière claire et complète des moyens dont il dispose pour s’opposer aux cookies[5]. En outre, il doit être aussi simple de refuser les cookies que de les accepter.
Au-delà d’un manquement à la loi Informatique et Libertés, ces lourdes sanctions peuvent également se justifier par le caractère sensible des données collectées. Effectivement, au regard de l’essor de la numérisation des données personnelles, la CNIL se doit d’être vigilante afin d’apporter une protection complète aux individus et à leurs données.
La cybersécurité représente un enjeu juridique actuel conséquent. C’est pourquoi il apparaît que le RGPD rehausse de plus en plus les exigences en matière de sécurisation des données personnelles et donc, de cybersécurité. De ce fait, la CNIL n’hésite pas à sanctionner toute entreprise qui ne respecterait pas la loi Informatique et Libertés ou le RGPD. À cet égard, l’article 32 du RGPD dispose d’ailleurs que doivent être prises toutes les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[6].
[1] CNIL, Cookies : sanction de 60 millions d’euros à l’encontre de MICROSOFT IRELAND OPERATIONS LIMITED [En ligne], mise à jour du 22 décembre 2022. Disponible sur : https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited#:~:text=Le%2019%20d%C3%A9cembre%202022%2C%20la,facilement%20que%20de%20les%20accepter
[2] CNIL, Cookies : la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros [En ligne], mise à jour du 12 janvier 2023. Disponible sur : https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-tiktok-hauteur-de-5-millions-deuros#:~:text=Le%2029%20d%C3%A9cembre%202022%2C%20la,suffisamment%20pr%C3%A9cise%20des%20objectifs%20des
[3] CNIL, Cookie [En ligne], Disponible sur : https://www.cnil.fr/fr/definition/cookie#:~:text=Un%20cookie%20est%20un%20petit,ult%C3%A9rieurs%20avec%20le%20m%C3%AAme%20domaine
[4] CNIL, Donnée personnelle [En ligne], Disponible sur : https://www.cnil.fr/fr/definition/donnee-personnelle
[5] Article 82 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[6] Article 32 paragraphe 1 du Règlement général de la protection des données
Bibliographie indicative
- PARLEMENT EUROPÉEN. Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Journal officiel de l’Union européenne, n° L119/1, 04 mai 2016
- Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitement de données à caractère personnel et modifiant la loi n°78-17du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Journal officiel, n°182, 7 août 2004
Ajouter un commentaire