Les formations RGPD – DPO de RGPD-Experts passent en mode distanciel

RGPD-Experts est proche de vous, toutes nos formations présentielles sont suspendues jusqu’à nouvelles instructions.

Pour vous permettre de profiter au mieux de vos instants en télétravail, nous avons mis au point nos formations en mode distanciel.

Avec des groupes Maximum de 6, nous vous assurons les 35 heures de formation avec la même qualité de formation et les mêmes supports, cas pratiques et QCM.

Nos formateurs seront présents afin de vous présenter à distance les 5 journées et de répondre simultanément à vos questions sur le Chat de la formation.

Ces formations sont prévues dès lundi 23 Mars et continuerons une semaine sur deux ou plus si besoin.

Réservation par le formulaire de contact du site.

Portez vous bien et bon courage à toutes et à tous.

 

Les prochaine Formations RGPD-Experts

Toutes nos Formations passent en mode distanciel suite au confinement et au télétravail.

Une formation et une TARIFICATION adaptée au mode distanciel

5 jours et 35 heures vous permettant de vous former sur la totalité du RGPD et de vous présenter à l’examen de certification pour la formation DPO

mais également les formations de sensibilisation, les formations métier (RH, Market)

N’hésitez pas à nous contacter.

Mentions légales et conformité

Mentions légales

Les mentions légales et la conformité des sites sont encore loin d’être à jour.

Nous arrivons aux deux ans de l’applicabilité du RGP et 4 ans de l’entrée en vigueur du règlement.

Nous trouvons toujours des mentions légales sur des sites traitant des données sensibles identique à celles-ci ! pour un organisme qui a désigné un DPO !

Traitement automatisé d’informations nominatives

Ce site ne collecte sur les visiteurs du site aucune autre information nominative ou personnelle que celles qui lui sont ouvertement et volontairement fournies en particulier par l’intermédiaire des adresses électroniques de ses correspondants.

Nous vous rappelons que vous disposez d’un droit d’accès, de modification, de rectification et de suppression des données vous concernant (article 34 de la loi « Informatique et Libertés » du 6 janvier 1978). Pour exercer ce droit, contactez-nous.

Pour reprendre et paraphraser le rédacteur de ces mentions légales, nous vous rappelons que vous devez mettre vos sites en conformité avec la règlementation ! et que ces mentions légales ne sont plus valables depuis 2004 !!!!!

Conformité

Nous trouvons et lisons actuellement un grand nombre d’article de journaliste dans des journaux plus ou moins spécialisés nous informant que selon la dernière étude, près de la moitié des entreprises se “pensent” ou “sont” conformes au RGPD.
A la lecture de ces mentions reprises en l’occurence sur un site (que je ne nommerai pas), mais que nous retrouvons sur de nombreux sites, il est facile de se poser de véritables questions.

Notre quotidien de consultant nous montre que bon nombre desdites sociétés “conformes” n’ont en réalité que survolé le sujet ou au mieux regardé la conformité informatique avec leur DSI.

Faire appel à des consultants SERIEUX doit devenir un réflexe. La conformité est une pratique longue et sans fin qui demande une vigilance constante et une veille permanente.

Faites en sorte que votre conformité devienne un fabuleux atout concurrentiel et non une contrainte.

Nos mentions légales se trouvent ici https://www.rgpd-experts.com/mentions-legales-du-site/

N’hésitez pas et prenez le temps d’une formation sur le sujet, nous sommes à votre disposition pour vous aider.

Dashcam, Assurance et RGPD

La Dashcam,

Obtenez une remise de 10% sur votre assurance chez certains assureurs ! Prenez également un risque conséquent en terme de conformité.

Vos risques ?

  • Le non respect de l’article 9 du code civil et le droit au respect de la vie privé
  • Le non respect du RGPD collecte illégale (quel fondement juridique évoquer ?)
  • Le non respect des codes de la sécurité intérieure (Demande d’autorisation ?)

Les conséquences amendes et prison !

Pour vous et pour votre assureur également.

Alors avant de souscrire une sérieuse vérification s’impose et je ne serais pas étonné que la CNIL intervienne sur le sujet. Devant les doutes que nous soulevons, il est très important de ne pas succomber à ce genre de publicité (mensongère) puisque les données ne pourraient être exploitées.

Pour avoir une vision plus précise des risques liés à ces dispositifs, nous vous conseillons de prendre connaissance des éclairages de Maitre Charlotte Galichet, Avocat

https://www.village-justice.com/articles/dashcam-cameras-embarquees-reglementation-sur-protection-des-donnees,33195.html

Droit à l’oubli les premiers retours du conseil d’état

Droit à l’oubli les premiers retours du conseil d’état

LE conseil d’Etat Français vient de fixer les conditions de déréférencement sur internet prévu par le RGPD.

Ces informations vont commencer à permettre de mieux comprendre comment les gérer, en voici la teneur principale.

Extrait du texte à retrouver sur le site du conseil d’Etat en suivant ce lien

https://www.conseil-etat.fr/actualites/actualites/droit-a-l-oubli-le-conseil-d-etat-donne-le-mode-d-emploi

Les grands principes de ce cadre sont :

  • Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue.
  • Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit.
  • Le droit à l’oubli n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public.
  • L’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles.

Trois catégories de données personnelles sont concernées :

  • des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …),
  • des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale),
  • et des données touchant à la vie privée sans être sensibles.

La protection dont bénéficient les deux premières catégories est la plus élevée : il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public. Pour la troisième catégorie, il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause.

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles.

Les 13 décisions du 6 décembre 2019

13 particuliers ont saisi Google de demandes de déréférencement de liens vers des pages web contenant des données à caractère personnel les concernant. A la suite du refus de Google, ils ont saisi la CNIL d’une plainte afin qu’elle mette Google en demeure de procéder à ces déréférencements. La CNIL ayant rejeté leurs plaintes, ces personnes ont directement saisi le Conseil d’État afin qu’il annule ces décisions de refus.
Sur ces 13 recours, le Conseil d’État a été amené à statuer sur 18 cas de figure différents : il a constaté 8 non-lieu à statuer, rejeté 5 demandes et prononcé 5 annulations.
Dans un certain nombre d’affaires, Google avait pris les devants, en procédant aux déréférencements demandés. Dans d’autres cas, le contenu des pages web avait été modifié depuis l’introduction des requêtes. Le Conseil d’État a alors constaté le non-lieu à statuer, les requérants ayant déjà obtenu satisfaction.

 

Fuite de données chez AccorHôtels

Fuite de données chez AccorHôtels

Le groupe hôtelier Accor victime d’une fuite de données par une de ses filiales, quelles conséquences pour le groupe ?

https://www.usine-digitale.fr/article/fuite-massive-de-donnees-a-accorhotels-que-risque-l-entreprise.N906279

 

Vidéosurveillance autorisée ?

La vidéosurveillance autorisée pour filmer secrètement ses salariés, attention, il faut bien lire l’ensemble du communiqué de presse et en tirer les éléments importants.

il s’agit d’une situation particulière

En 2009, les requérantes occupaient toutes un emploi de caissière ou d’assistante de vente chez M., une chaîne de supermarchés. Ayant constaté des disparités entre les stocks du magasin et ses ventes, ainsi que des pertes pendant plus de cinq mois, le directeur du supermarché installa des caméras de vidéosurveillance visibles ou cachées au mois de juin cette année-là.

La notion de durée est importante, il n’est pas autorisée de laisser les caméras en permanence sur un lieu sans en informer les personnes et respecter les règles existantes. Le nombre de personne pouvant accéder aux enregistrements est également très limité.

Relevant par ailleurs que les requérantes travaillaient dans une zone ouverte au public, la Cour opère une distinction entre le degré d’intimité qu’un employé peut attendre selon le lieu …..

La surveillance n’ayant duré que dix jours et les enregistrements n’ayant été vus que par un nombre réduit de personnes, la Cour considère que l’intrusion dans la vie privée des requérantes ne revêtait pas un degré de gravité élevé.

Il n’y a pas eu non plus de détournement de finalité et d’expliquer qu’étant donné l’ampleur des personnes impliquées il n’y avait pas d’autres mesures permettant d’atteindre l’objectif

De plus, si les conséquences de la surveillance pour les requérantes ont été importantes puisque celles-ci ont été licenciées, les enregistrements n’ont pas été utilisés par l’employeur à d’autres fins que celle de trouver les responsables des pertes de produits constatées et aucune mesure n’aurait permis d’atteindre le but légitime poursuivi.

La cour a également estimé que la mesure n’avait pas été excessive, se limitant à filmer les caisses

Ils se sont également penchés sur l’ampleur de la mesure, constatant qu’elle se limitait aux caisses et n’avait pas excédé ce qui était nécessaire.

Il n’est donc toujours pas autorisé à filmer tout et n’importe quoi et encore moins à utiliser des caméras zoomant à tour de bras d’autres compléments sont présents dans le communiqué de presse de la cour européenne des droits de l’homme vous trouverez le communiqué de presse sur ce lien à télécharger au format pdf.

En conclusion

  1. Oui la vidéosurveillance pour limiter les vols a été validée par la CEDH dans ce cas précis !
  2. Non la vidéosurveillance n’est pas autorisée sans information préalable et de manière systématique, voir notre article https://www.rgpd-experts.com/le-risque-cnil-touche-toutes-les-entreprises-meme-les-tpe/

Fusion acquisition et RGPD

La Garantie de passif dans le cadre des fusions acquisitions et du RGPD

Ce principe de garantie de passif est devenu habituel, régulièrement évoqué et pris en compte dans le cadre d’une fusion acquisition.

L’arrivée du RGPD (Règlement Général sur la Protection des Données) va faire évoluer la donne.

Aujourd’hui, les exigences de « compliance » au RGPD commencent à se manifester lors des opérations de rachat ou de vente et doivent être prises en compte par tous les acteurs concernés : investisseurs, actionnaires et dirigeants soucieux de préserver et valoriser les données personnelles traitées par les organismes.

En termes de valorisation de la cible, différents facteurs liés à la conformité sont susceptibles d’impacter le prix que les acheteurs sont en définitive prêts à payer, voire d’influencer leur décision d’investir ou non.

Si la conformité au RGPD n’est pas prise en compte en premier lieu, la non-conformité au RGPD représente aujourd’hui un risque important pour les entreprises et leurs dirigeants. La notion de responsabilisation, selon laquelle le « responsable du traitement » doit être en mesure, à tout moment, de démontrer sa conformité aux exigences du règlement peut impacter lourdement la décision. En cas de violation de celles-ci, ce « responsable » peut se trouver exposé à des sanctions administratives très lourdes, ainsi qu’à des actions civiles et pénales les dernières sanctions en France 50 millions pour Google, 400 000 euros pour une société n’ayant pas respecté les principes de sécurisation de son système d’information mais également à l’étranger en Angleterre British Airways sous le coup d’une amende de plus de 200 millions.

Le patrimoine immatériel devient également une source de valorisation de l’entreprise et doit être pris en compte. Le cas Bout-Chard et la décision de la cour de cassation dans sa décision en 2013, nous démontre l’importance de la constitution du registre des traitements.

Les questions à se poser avant d’acheter, d’utiliser les données acquises par l’intermédiaire du fichier du vendeur sont de l’ordre :

·      Conformité de la collecte

·      Sécurisation de ces données

·      Stockage et durée de conservation

·      Transfert Hors UE (USA par exemple et bientôt GB)

·      Réalisation des EIVP

Il sera également nécessaire d’assurer la transparence auprès des personnes concernées, clients mais également salariés et toutes personnes concernées par les traitements de données.

Logo sur les véhicules de société

Les Cookies et les sites des entreprises

Les cookies et les sites des entreprises sont souvent gérés par les sociétés ayant éditées le site de l’entreprise.

Les responsables desdites entreprises laissent au sachant (les webmasters) la gestion des cookies. Savent-ils les risquent qu’ils prennent ?

Actualité à l’étranger

L’AEPD, équivalente espagnole de la CNIL, vient d’infliger une sanction financière à l’encontre de la compagnie Vueling. À l’index ? Sa politique de cookies.

L’autorité reproche à l’entreprise de renvoyer les internautes vers les paramètres du navigateur pour qu’ils puissent exercer leur droit d’opposition, seule option offerte.

Aucun panneau de configuration ne leur est proposé pour s’opposer à ces traceurs de manière plus chirurgicale. Pour cette lacune, l’entreprise écope d’une sanction de 30 000 euros sur l’autel du RGPD.

Et pendant ce temps-là en France ?

En France, le Conseil d’État a déjà considéré qu’un renvoi aux paramètres du navigateur n’était pas tolérable pour refuser l’installation des cookies publicitaires. L’affaire, dont les faits étaient antérieurs à l’entrée en application du RGPD, concernait le site Challenges.fr.

Voilà quelques semaines, la CNIL a exigé du Figaro.fr la révision de sa politique de cookies. Un internaute reproché notamment un dépôt de traceurs dès son arrivée sur le site.

Le 4 juillet dernier, la même commission a toutefois considéré que les responsables de traitement ne pouvaient plus déduire l’acceptation de ces traceurs de la seule poursuite de la navigation. Elle leur a toutefois laissé un an pour se mettre d’aplomb, avant de possibles sanctions.

Enfin, dans un arrêt du 1 er octobre, la Cour de justice de l’Union européenne a estimé pour sa part qu’on ne pouvait déduire le consentement des personnes physiques par le biais d’une simple case cochée par défaut.

En conclusion

Nous vous invitons à :

  • Mettre en place des outils spécialisés dans la gestion des consentements à l’utilisation des cookies sur les sites
  • Voir avec votre éditeur de site la mise à disposition d’un outil adapté
  • Vérifier avec un spécialiste la conformité de votre site (véritable vitrine) au niveau des cookies mais également des mentions légales.
  • Conserver ces documents en cas de contrôle de la CNIL
  • Établir une procédure de gestion des exercices des droits des personnes concernées