Expertises des Systèmes d'information - Février 2021 - N°465 - Le mensuel du droit de l'informatique et du multimédia - 66

D

O

C

T

R

I

N

E

spécialisé dans l'ADN ». Ces dénominations générales ne permettent
pas d'identifier clairement les soustraitantsquitraitentcesdonnéesgénétiques, particulièrement sensibles
au sens de l'article 9 du RGPD.
S'agissant de données sensibles, les
personnes concernées devraient être
clairement informées des conditions
de traitement de leurs données
génétiques par les sous-traitants. Par
ailleurs, les opérations effectuées par
ces tiers ne sont pas précisées : « pour
effectuer diverses tâches pour nous »,
formulation peu éclairante sur
l'usage des données génétiques par
les sous-traitants.
En deuxième lieu, la relation juridique
liant ADN MyHeritage, responsable de
traitement à des « tiers » se fait « sous
la protection d'accords appropriés », or
à aucun moment la nature juridique
exacte de ces accords n'est révélée. Il
est donc impossible de savoir si ces
accords sont conformes à l'article 28
du RGPD.
En troisième lieu, concernant
le transfert des données à des
sous-traitants situés en dehors de
l'Union européenne, le responsable
de traitement déclare «  s'efforcer
d'assurer des garanties suffisantes
pour vos données personnelles, telles
que requises par la loi applicable ». Il
semblerait donc que le responsable
de traitement déclare fournir les
meilleurs efforts pour respecter les
principes relatifs au transfert des
données en dehors de l'UE, se considérant lié uniquement par une obligation de moyens. Or en l'absence de
décision d'adéquation, l'article 46 du
RGPD énumère un certain nombre
d'outils (BCR, clauses types, clauses
contractuelles sous réserve de
l'autorité de contrôle compétente...)
obligatoires avant toute exportation
et importation de données hors UE.

Des flux de données hors UE
non encadrés
Dans le cadre de transferts de
données hors UE, le RGPD prévoit
une palette de garanties appropriées
assurant aux personnes concernées
une protection de leurs données
équivalente au droit européen.

66

Les articles 44 et suivants prévoient
ainsi que les transferts de données
doivent reposer sur une décision
d'adéquation de l'UE ou, à défaut, sur
un outil juridique contraignant pour
le destinataire des données hors UE.
MyHeritage dispose d'un siège
social en Israël, pays ayant fait
l'objet d'une décision d'adéquation
par la Commission européenne.
Dans l'hypothèse où l'intégralité
des données personnelles seraient
hébergées et traitées en Israël, le
transfert de données personnelles
vers ce pays ne nécessiterait pas
d'encadrement spécifique.
Néanmoins, l'adresse d'expédition
de l'échantillon permet de déduire
que le laboratoire d'analyse des
échantillons se trouve aux EtatsUnis. À la lumière de la décision d'invalidation du « Privacy Shield » prise
par la CJUE6, les transferts vers les
Etats-Unis doivent nécessairement
être encadrés par des dispositifs
juridiques contraignants, tels que des
clauses contractuelles-type. Dans
la logique de responsabilisation des
acteurs, MyHeritage est également
censé évaluer le niveau de protection
offert par son prestataire américain
et l'existence de garanties substantielles pour les personnes concernées  : celles-ci doivent notamment
disposer de droits opposables et de
voies de droit effectives dans le pays
importateur de données.
MyHeritage ne fournit à ce jour
aucun élément permettant d'établir
que les transferts de données effectués vers les Etats-Unis sont encadrés par un dispositif contraignant.
Mis à part l'identité du laboratoire
d'analyse des échantillons, aucune
précision n'est fournie à l'utilisateur
sur l'identité et la localisation des
prestataires et éventuels partenaires
de MyHeritage.

Des mesures de sécurité non
détaillées
Le RGPD impose au responsable
de traitement et au sous-traitant
d'appliquer des mesures de sécurité
concrètes et de les documenter
(articles 24, 25, 28 et 32). En l'espèce,
la description par MyHeritage des
mesures de sécurité mises en place
reste sommaire, le détail des mesures
EXPERTISES Février 2021

qui auraient permis de garantir la
disponibilité, l'intégrité et la confidentialité des données, n'étant pas
fourni à l'utilisateur.7
En juin 2018, MyHeritage a publié
un communiqué signalant un
incident de sécurité au cours duquel
les adresses électroniques liées à
environ 93 millions de comptes ainsi
que des mots de passe incomplets
(hashés) ont été piratés. Si l'entreprise a depuis déployé un dispositif
d'authentification à deux facteurs,
rien ne permet de confirmer que
d'autres données, notamment les
données génétiques, n'ont pas été
compromises lors de cet incident.
Le volume de données personnelles
traitées par la plateforme suscite
plusieurs interrogations sur les
mesures de sécurité effectivement
appliquées : MyHeritage a-t-il recours
à un sous-traitant pour l'hébergement
des données  ? Si oui dans quel pays
est situé le sous-traitant ? S'agissant
de données sensibles, les mesures
de sécurité font-elles l'objet d'une
certification  (ISO 27001 notamment) ? Les données sont-elles pseudonymisées dans le cadre du projet de
recherche  ? Comment sont gérés les
incidents de sécurité  ? Des audits de
sécurité réguliers sont-ils organisés ?
My Heritage n'apporte aucune
réponse sur ces points, limitant
son obligation de sécurité à une
obligation de moyens. Il est ainsi
indiqué que « la sécurité en ligne ou
hors ligne ne peut jamais être entièrement garantie, mais nous faisons
tous nos efforts commercialement
raisonnables pour que la collecte et
la sécurité de ces informations soient
conformes à cette Politique de confidentialité et à toutes les lois et législations applicables ». La raisonnabilité
de l'effort est appréciée « financièrement » et non « techniquement ».

Des durées de conservation
non spécifiées
L'article 5.e du RGPD précise que
le responsable de traitement doit
définir en amont des durées limitées de conservation des données
personnelles.
Expertises des Systèmes d'information - Février 2021 - N°465 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Février 2021 - N°465 - Le mensuel du droit de l'informatique et du multimédia
