L’utilisation du service Google Analytics constitue une violation du RGPD
20 janvier 2022Le nouveau Régime de sanction de la CNIL
3 février 2022La recherche sur Internet de fuites d’informations et la protection des données personnelles
La recherche sur Internet de fuite d’informations vise à détecter les fuites de données (volontaires ou involontaires) en effectuant des recherches par mots clés sur le web. Durant l’analyse, seules les données pertinentes, correspondant aux mots-clés choisis, sont collectées et conservées. Il peut s’agir de données personnelles.
C’est dans ce contexte que la CNIL rappelle l’importance de respecter le RGPD dans le cadre d’une recherche sur Internet de fuites d’informations. Pour cela, l’entreprise qui a recours à un prestataire pour la recherche de fuites et le prestataire, lui-même, doivent :
- Conclure un contrat de sous-traitance permettant d’identifier les rôles de chacun.
L’entreprise qui a recours à un prestataire pour la recherche de fuites est responsable de traitement. Le prestataire est quant à lui sous-traitant. Un contrat de sous-traitance doit donc être conclu et préciser notamment les obligations de chacun et les finalités du traitement.
- Déterminer une base légale pour le traitement résultant de la recherche de fuite.
La CNIL précise que cette dernière pourra être l’intérêt légitime du responsable de traitement mais il faudra pouvoir en justifier et démontrer que la recherche de fuite est nécessaire. L’équilibre entre le droit des personnes concernées par le traitement et l’intérêt du responsable de traitement doit être assuré.
- Déterminer et limiter la durée de conservation des données personnelles au regard des objectifs de la recherche.
Plusieurs précisions sont apportées par la CNIL. Tout d’abord, lorsque la recherche permet d’identifier des données qui ont fuité, ces dernières peuvent être conservées durant la durée nécessaire à la réalisation de poursuites judiciaires. A l’inverse, les données qui sont collectées et qui ne sont pas nécessaires doivent faire l’objet d’une suppression immédiate. Pour finir, les mots-clés peuvent, quant à eux, être conservés pendant la durée du contrat de recherche de fuites d’informations.
- Limiter la collecte aux données pertinentes.
Le responsable de traitement doit s’en assurer en mettant en œuvre des mesures limitant la collecte des données sensibles notamment en choisissant des mots-clés adaptés. Pour garantir la sécurité des personnes, la CNIL recommande de définir les mots-clés en conformité avec les objectifs et qu’ils ne contiennent pas de données personnelles. Si des données sensibles sont collectées, elles doivent être supprimées immédiatement.
- Respecter le droit des personnes concernées.
Les personnes concernées doivent être informées de l’existence du traitement. La CNIL précise qu’en cas de collecte indirecte, une dispense d’information est envisageable mais cela doit rester une exception interprétée strictement. Si la recherche de fuite permet de découvrir une violation de données engendrant un risque élevé pour les droits et libertés, les personnes concernées doivent être informées. Les personnes concernées disposent également du droit d’accès, d’effacement, de rectification, de limitation et d’opposition au traitement.
En dehors du RGPD, la législation en matière de système de traitement automatisé de données doit également être respectée. Pour ce faire, le prestataire doit s’assurer que pour effectuer la recherche sur Internet de fuites d’informations, il n’exploite pas des vulnérabilités ou qu’il ne force par des mesures de sécurité.
Pour en savoir plus :
https://www.cnil.fr/fr/la-recherche-sur-internet-de-fuites-dinformations-rifi
Par C.H | Protection des données, Sécurité | Commentaires fermés