Fusion acquisition et RGPD

La Garantie de passif dans le cadre des fusions acquisitions et du RGPD

Ce principe de garantie de passif est devenu habituel, régulièrement évoqué et pris en compte dans le cadre d’une fusion acquisition.

L’arrivée du RGPD (Règlement Général sur la Protection des Données) va faire évoluer la donne.

Aujourd’hui, les exigences de « compliance » au RGPD commencent à se manifester lors des opérations de rachat ou de vente et doivent être prises en compte par tous les acteurs concernés : investisseurs, actionnaires et dirigeants soucieux de préserver et valoriser les données personnelles traitées par les organismes.

En termes de valorisation de la cible, différents facteurs liés à la conformité sont susceptibles d’impacter le prix que les acheteurs sont en définitive prêts à payer, voire d’influencer leur décision d’investir ou non.

Si la conformité au RGPD n’est pas prise en compte en premier lieu, la non-conformité au RGPD représente aujourd’hui un risque important pour les entreprises et leurs dirigeants. La notion de responsabilisation, selon laquelle le « responsable du traitement » doit être en mesure, à tout moment, de démontrer sa conformité aux exigences du règlement peut impacter lourdement la décision. En cas de violation de celles-ci, ce « responsable » peut se trouver exposé à des sanctions administratives très lourdes, ainsi qu’à des actions civiles et pénales les dernières sanctions en France 50 millions pour Google, 400 000 euros pour une société n’ayant pas respecté les principes de sécurisation de son système d’information mais également à l’étranger en Angleterre British Airways sous le coup d’une amende de plus de 200 millions.

Le patrimoine immatériel devient également une source de valorisation de l’entreprise et doit être pris en compte. Le cas Bout-Chard et la décision de la cour de cassation dans sa décision en 2013, nous démontre l’importance de la constitution du registre des traitements.

Les questions à se poser avant d’acheter, d’utiliser les données acquises par l’intermédiaire du fichier du vendeur sont de l’ordre :

·      Conformité de la collecte

·      Sécurisation de ces données

·      Stockage et durée de conservation

·      Transfert Hors UE (USA par exemple et bientôt GB)

·      Réalisation des EIVP

Il sera également nécessaire d’assurer la transparence auprès des personnes concernées, clients mais également salariés et toutes personnes concernées par les traitements de données.

Logo sur les véhicules de société

Les Cookies et les sites des entreprises

Les cookies et les sites des entreprises sont souvent gérés par les sociétés ayant éditées le site de l’entreprise.

Les responsables desdites entreprises laissent au sachant (les webmasters) la gestion des cookies. Savent-ils les risquent qu’ils prennent ?

Actualité à l’étranger

L’AEPD, équivalente espagnole de la CNIL, vient d’infliger une sanction financière à l’encontre de la compagnie Vueling. À l’index ? Sa politique de cookies.

L’autorité reproche à l’entreprise de renvoyer les internautes vers les paramètres du navigateur pour qu’ils puissent exercer leur droit d’opposition, seule option offerte.

Aucun panneau de configuration ne leur est proposé pour s’opposer à ces traceurs de manière plus chirurgicale. Pour cette lacune, l’entreprise écope d’une sanction de 30 000 euros sur l’autel du RGPD.

Et pendant ce temps-là en France ?

En France, le Conseil d’État a déjà considéré qu’un renvoi aux paramètres du navigateur n’était pas tolérable pour refuser l’installation des cookies publicitaires. L’affaire, dont les faits étaient antérieurs à l’entrée en application du RGPD, concernait le site Challenges.fr.

Voilà quelques semaines, la CNIL a exigé du Figaro.fr la révision de sa politique de cookies. Un internaute reproché notamment un dépôt de traceurs dès son arrivée sur le site.

Le 4 juillet dernier, la même commission a toutefois considéré que les responsables de traitement ne pouvaient plus déduire l’acceptation de ces traceurs de la seule poursuite de la navigation. Elle leur a toutefois laissé un an pour se mettre d’aplomb, avant de possibles sanctions.

Enfin, dans un arrêt du 1 er octobre, la Cour de justice de l’Union européenne a estimé pour sa part qu’on ne pouvait déduire le consentement des personnes physiques par le biais d’une simple case cochée par défaut.

En conclusion

Nous vous invitons à :

  • Mettre en place des outils spécialisés dans la gestion des consentements à l’utilisation des cookies sur les sites
  • Voir avec votre éditeur de site la mise à disposition d’un outil adapté
  • Vérifier avec un spécialiste la conformité de votre site (véritable vitrine) au niveau des cookies mais également des mentions légales.
  • Conserver ces documents en cas de contrôle de la CNIL
  • Établir une procédure de gestion des exercices des droits des personnes concernées

Le risque CNIL touche toutes les entreprises, même les TPE

souriez vous love êtes filmé créé par loluie ...

 

J’entends très souvent dans les différents cercles “La CNIL ne viendra pas nous contrôler !”, erreur ! les grandes entreprise du CAC 40 ou les ETI ne sont pas les seules concernées, le risque CNIL touche toutes les entreprises, même les TPE !

Une TPE comprenant neuf salariés et spécialisée dans la traduction est sanctionnée par la CNIL en 2019.

Suite à des plaintes déposées par des salariés auprès de la CNIL entre 2013 et 2017, concernant une vidéosurveillance permanente des collaborateurs sur leurs postes de travail, la société a été condamnée à 20 000 euros d’amende administrative.

Les Faits

Un contrôle mené dans les locaux de la société en février 2018 a permis de constater que :

  • La caméra présente dans le bureau de 6 collaborateurs les filmait à leur poste de travail sans interruption ;
  • Absence d’information satisfaisante délivrée aux salariés ;
  • Défaut de sécurisation des accès aux postes informatiques, de plus les collaborateurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

La suite

Les corrections prises par l’entreprise n’étant pas suffisantes dans les délais impartis par la CNIL lors de sa mise en demeure, elle s’est vu infliger la sanction de 20 000 euros suite au second contrôle.

La CNIL a prononcé cette sanction en prenant en compte le résultat négatif de 2017. Il est bon de préciser également que le RGPD n’entrant en application qu’en mai 2018, la sanction aurait pu sans doute être plus lourde.

Conclusions

Outre la sanction administrative, la CNIL a rendu publique la sanction et a enjoint la TPE à se conformer dans les 2 mois sous peine d’astreinte en cas de non-respect de la sanction.

En rendant publique sa décision, la formation restreinte de la CNIL rappelle la particulière sensibilité de la vidéosurveillance des salariés sur leur lieu de travail.

Les autres traitements RH sont également particulièrement suivis par l’autorité de contrôle à savoir la géolocalisation, la surveillance des moyens mis à disposition des salariés (traçage des mails), badges, etc…

Le risque CNIL est donc bien présent.

Tous ces traitements doivent également faire l’objet d’une étude d’impact sur la vie privée (EIVP ou DPIA en anglais).

22 000 communes ne respectent pas le RGPD selon la CNIL

Sur 34978 seulement 12678 communes auraient désigné un Délégué à la protection des données (DPO).

22 000 communes ne respectent pas le RGPD selon la CNIL, cela représente les deux tiers environs des communes françaises qui n’ont pas désigné de DPO auprès des services de la CNIL.

Désigner un DPO c’est certes peu et ça n’assure pas la conformité des communes en matière de protection des données à caractère personnel des administrés. En effet la désignation seule ne suffit pas à se conformer à la loi. Nous avions les Correspondants Informatique et Libertés de paille, il est fort à parier que la moisson pour les DPO soit importante dans le secteur des collectivités locales. La Commission n’a pas encore communiqué sur les autres acteurs du service public.

La particularité des communes est qu’elles traitent énormément de données. Les traitements d’une collectivité sont nombreux. On peut citer à titre d’exemple, les traitements régaliens confiés par l’état comme l’état civil, naissance, mariage, décès, bien que confié par l’état, le Maire est responsable de traitement. D’autres traitements, comme la gestion des cimetières, du CCAS, de la cantine scolaire et notamment des traitements particuliers liés à la gestion des allergies alimentaires (projet d’accueil individualisé, PAI). Ce même PAI est déployé dans les crèches qui peuvent encore être de la responsabilité des communes.

On pourrait également ajouter la gestion du ramassage scolaire, des centres de loisirs, etc., etc. A cela s’ajoute naturellement la gestion des différents personnels et des moyens dont ils disposent comme les véhicules de services. Le traitement du recouvrement des infractions routières nécessite au passage une étude d’impact sur la vie privée.

Les députés lors de la présentation du projet de mise à jour de la loi de 78, se sont opposés fermement à ce que la Commission puisse sanctionner les collectivités financièrement, Dont acte !

Les mêmes Députés ont également opposé un véto sur l’aide financière proposée aux collectivités pour les accompagner dans la mise en œuvre du RGPD.

Comment interpréter cette révélation de la CNIL ? La grille de lecture peut être au moins de deux axes : le premier serait un rappel aux collectivités concernant les obligations légales de désignation d’un DPO ou de mutualiser cette fonction avec une communauté de commune ; le deuxième axe serait un avertissement aux communes, la Commission pourrait adresser une mise en demeure à toutes celles qui ne se sont pas conformées au premier acte symbolique de la mise en conformité : la désignation du DPO.

Sans doute que cette communication tombe dans un moment où la Commission à rendu deux avis plus que mitigés. Le premier sur le projet de traitement relatif à la chasse aux contribuables fraudeurs sur les réseaux sociaux ; le deuxième concernant le projet ALICEM “authentification en ligne certifiée sur mobile” lui aussi largement critiqué par la CNIL. En espérant que les avis rendus par la CNIL ne resteront pas lettre morte et que les législateurs sauront en tenir compte pour que ces deux projets voient le jour avec des effets moins liberticides.

Les élections municipales en ligne de mire ?

Alors que certains commencent déjà à rentrer dans la campagne pour les élections municipales, la CNIL annonce que 2/3 des communes n’ont pas désignées de DPO.

Dans un communiqué publié en mai 2019 la CNIL signale également :

“70 % des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données.”

Sondage IFOP réalisé en avril 2019 sur un échantillon de 1 000 personnes, représentatif de la population française de 18 ans et plus, selon la méthode des quotas.

Les candidats aux élections municipales devraient sans doute bien interpréter ces informations afin de mieux préparer leurs programmes électoraux.

Brexit No-deal et ses conséquences

À moins d’un nouveau report de la date effective de retrait, le Royaume-Uni sortira sans accord (Brexit No-deal) de l’UE le 31 octobre 2019, sauf si l’accord de retrait est ratifié par les deux parties d’ici cette date. Cela signifie qu’au 1er novembre 2019 le Royaume-Uni deviendra un pays tiers et, en l’absence d’accord avec l’UE, les flux de données personnelles seront considérés comme un transfert de données en dehors de l’UE et de l’EEE.

En cas de Brexit sans accord, les pays faisant partis du royaume unis (Angleterre, Ecosse, Pays de Galles et Irlande du nord) seront considérés comme pays n’assurant pas un niveau de protection adéquat. les responsables du traitement et les sous-traitants dans l’Union devront donc assurer un niveau de protection suffisant et approprié pour tout transfert de données vers le Royaume-Uni, avec la mise en place d’outils permettant l’encadrement de ces transferts, conformément au RGPD.

Suis-je concerné et comment m’y préparer ?

Vous êtes concernés par cette éventualité si vous transférez des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni et que ce flux de données se poursuit au-delà du 31 octobre 2019.

En cas de Brexit sans accord, les étapes suivantes vous permettront de déterminer les démarches à initier pour garantir la conformité de vos traitements :

1.     Identifier les activités de traitement constituant un transfert de données personnelles vers le Royaume-Uni.

1.     Vérifier vos applications cloud si des données sont stockées, échangées ou même simplement visualisée au royaume uni.

2.    Préparer vos maisons-mères, filiales se situant au royaume uni aux impacts sur l’organisation interne groupe

2.    Déterminer l’outil de transfert le plus approprié à mettre en place pour ces activités de traitement (voir question suivante).

3.    Procéder à la mise en place de l’outil de transfert choisi pour que celui-ci soit applicable et effectif au 1er novembre 2019.

4.    Mettre à jour votre documentation interne afin d’y inscrire les transferts vers le Royaume-Uni à compter du 1er novembre 2019.

5.    Le cas échéant, mettre à jour l’information aux personnes concernées afin d’indiquer l’existence d’un transfert des données hors de l’UE et de l’EEE s’agissant du Royaume-Uni.

Avec quels outils encadrer les transferts de données personnelles vers le Royaume-Uni en cas de Brexit sans accord ?

La Cnil Précise :

« Le règlement européen sur la protection des données (RGPD) complète la gamme des outils existants permettant l’encadrement de ces transferts en dehors de l’Union, afin de répondre aux différentes situations rencontrées par les responsables de traitement de données et leurs sous-traitants.

En cas de Brexit sans accord, les outils suivants pourront permettre aux organismes d’encadrer les transferts de données personnelles vers le Royaume-Uni de façon appropriée :

Les Clauses contractuelles types

Les Clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, qui permettent d’encadrer les transferts de données entre deux responsables du traitement ou entre un responsable du traitement et un sous-traitant. Ces clauses ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert puisqu’il s’agit d’un outil pouvant être considéré comme « prêt à l’emploi » et mis en place rapidement, en suivant les recommandations sur la page dédiée du site de la CNIL.

Les clauses contractuelles spécifiques

Les clauses contractuelles spécifiques dites « ad-hoc » sont des contrats de transferts de données personnelles qui permettent d’encadrer les transferts de données dans des situations spécifiques, comme par exemple lorsque les clauses contractuelles types ne sont pas applicables ou nécessitent d’être modifiées. Ces clauses contractuelles ad-hoc doivent cependant être préalablement autorisées par la CNIL, après avis du Comité européen de la protection des données.

Les binding corporate rules – BCR

Les règles contraignantes d’entreprises (ou binding corporate rules – BCR) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne. Elles sont juridiquement contraignantes et respectées par les entités signataires du groupe, quel que soit leur pays d’implantation, ainsi que par tous leurs salariés d’une même entreprise ou d’un même groupe. Toutes les informations pour la mise en place de règles contraignantes d’entreprises sont disponibles sur la page dédiée du site de la CNIL.
Pour les responsables du traitement ou sous-traitants ayant soumis une demande d’autorisation BCR auprès de l’autorité britannique de protection des données (ICO) toujours en cours d’instruction au moment de la sortie de Royaume-Uni, le Comité européen de la protection des données a publié une note d’information dédiée relative au suivi de la demande, qui sera assuré par une autre autorité de protection de données dans l’Union.

Les codes de conduites et les mécanismes de certifications

Les codes de conduites et les mécanismes de certifications pourraient également constituer des outils de transfert appropriés, à condition qu’ils comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Ces outils doivent être préalablement autorisés par la CNIL, après avis du Comité européen de la protection des données. Il s’agit de nouveaux outils introduits par le RGPD sur lesquels des lignes directrices et recommandations sont en cours de préparation au sein du Comité européen de la protection des données. »

Oui les organismes publics sont également concernés par un BREXIT.

En cas de Brexit sans accord, l’ensemble des transferts de données personnelles vers le Royaume-Uni devront être encadrées au moyen de garanties appropriées, y compris les transferts effectués par les autorités ou organismes publics.

En plus des outils de transferts décrits précédemment lorsqu’ils sont applicables aux autorités et organismes publics, le RGPD prévoit des instruments spécifiques qui peuvent être mis en œuvre par ce type d’organismes pour l’encadrement de leurs transferts de données hors de l’Union européenne (UE) et de l’Espace Économique Européen (EEE) :

  1. Des instruments juridiques contraignants entre ces autorités publiques ou organismes publics (telle une convention internationale).
  2. Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées. Cet outil doit être préalablement autorisé par la CNIL et dans certains cas l’avis du CEPD sera nécessaire.

Les autorités ou organismes publics dont les traitements relèvent de la Directive UE 2016/680 « Police – Justice » devront utiliser les outils de transferts prévus par cette Directive et les dispositions du droit français la transposant.

A quelle date ces outils devront-ils être opérationnels ?

En cas de Brexit sans accord, quel que soit le type d’organisme concerné, l’outil choisi pour encadrer le transfert de données vers le Royaume-Uni devra être mis en place et effectif à compter du 1er novembre 2019.

En cas de Brexit sans accord et en l’absence de garanties appropriées encadrant un transfert vers le Royaume-Uni, des dérogations sont-elles possibles ?

Dès le premier novembre 2019 le royaume uni sera considéré comme un pays tiers non adéquat et à ce titre les règles concernant ces dérogations (Art 49 du RGPD) entreront en vigueur. Toutefois attention à ne pas confondre dérogation et règles.

Qu’en est-il des données reçues du Royaume-Uni en cas de Brexit sans accord ?

Pour les données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne, le gouvernement britannique a annoncé que la situation resterait inchangée et que la libre circulation des données vers l’UE serait permise sans besoin de garantie supplémentaire.

Si vous recevez des données d’un responsable du traitement ou sous-traitant britannique, il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou tout autre cadre juridique spécifique applicable une fois les données reçues.

L’opt-out est illégal aussi pour les cookies !

Dans un Arrêt de la cour de justice de l’Union Européenne (CJUE) cette dernière rappelle le principe du consentement pour le dépôt des cookies sur les terminaux des internautes. Le consentement est explicite, clair, actif et libre au sens du RGPD. Ainsi la cour rappelle que le fait de continuer à naviguer sur un site ne vaut pas consentement au dépôt des cookies. Cette décision va dans le sens de l’analyse de la CNIL, qui elle a bien voulu laisser une année aux différents sites, notamment ceux dont le modèle économique repose uniquement sur l’exploitation de ces petits fichiers qui traquent l’activité des internautes pour se mettre en conformité.

Ainsi, les sites dont la politique est de pré cocher les cases relatives au consentement sont hors la loi. L’opt-out est définitivement illégal. Dans une étude récente (aout 2019), on apprend que dans 86 % des cas, les internautes ne pouvez pas s’opposer au dépôt des cookies. Dans la majorité des cas l’internaute n’avait d’autre choix que de cliquer sur OK. Drôle d’interprétation du consentement !

La CJUE, avait récemment rappelé que les boutons Facebook J’aime induisaient une coresponsabilité entre Facebook et l’éditeur du site. Ainsi les deux acteurs sont responsables chacun de leur côté pour la partie traitement qui les incombe.

Une décision cohérente : En effet, depuis 2017, les législateurs européens tentent de se mettre d’accord sur la mise à jour de la directive « vie privée et communication électroniques » l’E-Privacy.

Un projet largement critiqué par les acteurs, les lobbyistes dans le domaine de l’exploitation des données à caractère personnel et les défenseurs de l’opt-out. Cette décision tombe au plus mauvais moment, puisqu’elle renforce le projet E-Privacy et le respect de l’opt-in.

Le coup de grâce serait l’application du règlement E-Privacy qui est attendu depuis 2017.

La prochaine Formation DPO

Rgpd-Experts conçoit ses formations pour vous préparer à devenir Dpo et à vous permettre de présenter la certification Dpo de la Cnil. Pour vous préparer nous mettons en commun l’ensemble de nos connaissances et expériences sur la protection des données. Les formateurs de Rgpd-Experts sont tous qualifiés par une entreprise spécialisée dans la certification Bureau-veritas. Pour cela Rgpd-Experts a mis au point sa formation Dpo avec des :

  1. Supports préparant au passage de la certification
  2. Cas pratiques métiers issus de l’expérience terrain des formateurs
  3. QCM vous préparant à ceux de l’examen de certification

Nos formations accueillent au maximum 8 personnes ce qui permet à chacun de participer activement à la formation et de poser les bonnes questions tout en apportant son expérience au groupe. Comme nous tenons à le faire remarquer pendant les formations, le métier de DPO est un métier de communicant.

Les Formateurs

Les formateurs de Rgpd-Experts sont également consultants et interviennent auprès de nombreuses entreprises en tant que conseils mais aussi comme DPO externes. Leurs parcours professionnels variés permettent de répondre à toutes les questions que vous vous posez ou presque. Ils sont formateurs depuis de nombreuses années et sont passionnés par ce métier.

Quels profils pour la formation DPO

Si le juriste ou l’informaticien peuvent faire de très bons profils pour devenir DPO, ce ne sont pas les seuls. Un qualiticien, un spécialiste SOX, une personne issue du service des contrôles internes, des profils également très appréciés. Toutes les personnes ayant de l’expérience dans les fonctions transverses de l’entreprise font également de bons DPO. La motivation est avant tout primordiale pour bien réussir dans cette fonction.

Il manque beaucoup de bons DPO en France et en Europe, les demandes sur les différents sites d’emploi mais surtout en marché caché sont nombreuses et sur toute la France alors n’hésitez pas et inscrivez-vous aux formations.

Date de la prochaine formation DPO ici.

Légifrance change de peau

Depuis un décret du 7 août 2002, le site donne accès gratuitement à l’ensemble des textes de droit français actuels et passés. La dernière modification datée de 2008. Véritable base de connaissance, aussi bien pour les juristes, les DPO et les administrés, le site de Légifrance est un outil précieux, riche de par son contenu. La prochaine version, encore en version Bêta, opte pour une interface plus facile d’utilisation et le renforcent de son moteur de recherche.

Plus de détail: ici