Échelle de sanctions RGPD

Comment les autorités de contrôle devraient-elles
déterminer le montant de leurs amendes ?

Si le Règlement Général sur la Protection des Données (RGPD) fournit aux autorités de contrôle des indications sur la manière de fixer le montant des amendes administratives qu’elles infligent, leur évaluation et leur justification relèvent in fine de leur seule discrétion.

Pour rappel, ces amendes constituent l’une des mesures correctrices pouvant être prononcées par les autorités de contrôle, à la place ou en complément d’un avertissement, d’un rappel à l’ordre, d’une injonction de se conformer à la législation en vigueur dans un délai déterminé, du retrait d’une certification, voire d’une limitation ou interdiction temporaire ou définitive d’un traitement.

Afin d’harmoniser les différentes pratiques des autorités régulatrices des Etats membres de l’Union Européenne et d’éclaircir ces calculs quelque peu obscurs, le Comité Européen de la Protection des Données[1] (CEPD) a récemment publié ses lignes directrices sur le sujet[2].

Elle a ainsi établi une méthodologie destinée à calculer le montant de ces amendes en tenant compte des circonstances de chaque affaire. Cette marche à suivre est divisée en 5 étapes clés.

Identifier les comportements susceptibles d’être sanctionnés par une amende

L’autorité de contrôle doit d’abord clairement pointer du doigt les manquements pouvant être reprochés au responsable de traitement.

Si plusieurs manquements sont constatés, l’autorité devra décider si ceux-ci forment un tout, c’est-à-dire s’il existe une unité de temps, d’auteur et d’intention entre eux, ou s’il s’agit d’infractions distinctes.

Cette question est fondamentale car si les violations sont considérées comme liées, le RGPD prévoit que le montant total de l’amende ne pourra pas excéder le seuil maximal fixé pour la violation la plus grave retenue. Dans le cas contraire, chacune des violations pourra être sanctionnée par une amende.

Exemple : une entreprise a recours à un centre d’appel pour effectuer une étude de marché. Elle n’analyse pas, avant de signer un contrat avec cette société, sa capacité à protéger les données personnelles des clients qui lui sont confiées (1). Elle n’inscrit pas non plus les références de ce centre dans son registre des activités de traitement (2).

Ces deux violations peuvent être jugées comme faisant partie d’une même opération.

A l’inverse, une entreprise recueille les données personnelles de ses clients afin d’alimenter ses bases de données. Elle ne fournit pas à ces derniers les informations obligatoires concernant cette collecte de données (1). Elle refuse également, par souci d’économies, d’adopter toutes les mesures de sécurité requises pour assurer la protection de ces données, une fois obtenues (2). Victime d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés de ses clients, l’organisme s’abstient de notifier l’autorité compétente de cet événement (3).

Ces trois manquements constituent des violations distinctes, réalisées dans des contextes différents, et pouvant chacune être punie d’une amende.

Effectuer une première appréciation du montant de l’amende, selon les critères listés à l’article 83 du RGPD

Les textes n’assortissent pas la violation de chaque disposition spécifique du RGPD à une sanction précise. Pour déterminer le montant de l’amende qu’elle envisage de prononcer, l’autorité de contrôle se doit donc d’examiner les conditions dans lesquelles les manquements à la législation en vigueur en matière de protection des données sont intervenus.

Pour ce faire, elle doit notamment prendre en compte :

La nature de l’infraction

Comme nous le verrons plus tard, le RGPD distingue lui-même deux types d’infraction. Cette différenciation peut constituer une première indication du sérieux de la violation.

La gravité de l’infraction

Cette gravité des manquements constatés dépend, entre autres :

① De la nature du traitement

L’autorité compétente enquêtera sur le contexte dans lequel le traitement de données litigieux est mis en œuvre (dans le cadre d’une activité lucrative ou non, d’une collectivité ou d’une entreprise privée, d’un parti politique…) ainsi que sur les enjeux induits par ce traitement.

Exemple : la décision de l’autorité de contrôle sera plus sévère si le traitement a pour objet d’évaluer le comportement de certaines personnes en vue de prendre des décisions les concernant, plutôt que s’il était utilisé en interne, sans incidence sur des tiers.

② De l’étendue du traitement : d’envergure local, national ou international

③ Des motifs du traitement : s’il entre ou non dans les activités principales de l’organisme

④ Du nombre de personnes concrètement, mais aussi potentiellement touchées

Des violations systémiques et structurelles du RGPD seront ainsi, en principe, punies plus sévèrement.

⑤ De l’ampleur des préjudices subis par les personnes concernées

Les autorités régulatrices sont invitées à tenir compte non seulement du nombre de victimes de l’infraction, mais aussi de la nature du dommage subi ou redouté (physique ou matériel / temporaire ou définitif…).

⑥ Des données touchées

De la même manière, le nombre et les catégories des données touchées influenceront la décision de l’autorité de contrôle.

La gravité de l’infraction est accrue lorsque le traitement en cause porte sur des données dites sensibles (de santé, pénales, syndicales, à connotation sexuelle, portant sur les convictions religieuses/politiques/philosophiques ou sur les origines de l’intéressé…), mais aussi sur des données susceptibles de porter atteintes aux droits et libertés des personnes concernées (numéro de sécurité sociale, localisation, données bancaires ou fiscales…).

⑦ De la durée de la violation

⑧ De l’intention du responsable de traitement

L’autorité de contrôle se montrera plus autoritaire à l’égard des infractions commises délibérément[3] que celles réalisées par négligence.

En fonction de tous ces éléments, le CEPD estime que les amendes prononcées par les autorités de contrôle devraient être comprises :

Entre 0 et 10 % du montant légal maximal encouru pour les violations de faible gravité ( infra) ;
Entre 10 et 20 % du montant légal maximal encouru pour les violations de gravité modérée ;
Entre 20 et 100 % du montant légal maximal encouru pour les violations graves.
Le chiffre d’affaires de l’entreprise

Le montant de l’amende encourue sera apprécié en fonction du montant du chiffre d’affaires mondial annuel total de l’exercice précédent de l’entreprise.

Adapter le montant obtenu en fonction d’éventuelles circonstances aggravantes ou atténuantes

L’autorité de contrôle peut minorer ou augmenter le montant de l’amende obtenu en analysant les circonstances dans lesquelles l’infraction a été commise. Elle peut notamment modifier ce quantum selon :

Les actions prises spontanément par le responsable de traitement, avant l’intervention de l’autorité de contrôle, pour minimiser les dommages subis par les personnes concernées ;
Le degré de responsabilité du responsable de traitement, compte tenu des mesures techniques et organisationnelles qu’il a mis en œuvre ;
Les éventuelles précédentes violations du responsable de traitement ou, à l’inverse, le respect de mesures précédemment ordonnées pour assurer la conformité du responsable de traitement ;
Le degré de coopération avec l’autorité de contrôle, en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

Pour rappel, il pèse sur les responsables de traitement une obligation générale de coopérer avec les autorités de contrôles (art. 31 RGPD). Cette collaboration ne constituera donc une circonstance atténuante que si les actions de l’organisme excèdent la simple exécution des demandes de l’autorité compétente.

A l’inverse, le fait de refuser de coopérer avec les autorités de contrôle ne constitue pas seulement une circonstance aggravante, mais bien une violation supplémentaire des obligations légales incombant au responsable de traitement.

La manière dont la violation a été portée à la connaissance de l’autorité de contrôle ;

De la même façon, les responsables de traitement sont parfois tenus de notifier les autorités de contrôle de certains événements. Tel est par exemple le cas en présence d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Par conséquent, seule une information spontanée de l’autorité régulatrice et non une contrainte par la loi, pourra être considérée comme une circonstance atténuante.

L’adhésion à un code de conduite ou à un mécanisme de certification.

Cette liste est non exhaustive. D’autres circonstances aggravantes ou atténuantes peuvent être retenues.

Exemple : le gain direct ou indirect procuré par la violation de la législation applicable en matière de protection des données au responsable de traitement.

Chacun des éléments permettant d’évaluer la gravité de l’infraction ou la responsabilité de l’organisme ne peut être pris en considération qu’une seule fois par l’autorité de contrôle.

Exemple : le fait que le traitement porte sur des données sensibles ne saurait en principe servir à qualifier et la gravité de l’infraction (étape 2), et être présenté comme une circonstance aggravante (étape 3).

Déterminer les plafonds légaux des amendes encourues

Si la loi ne prévoit pas de montant minimal de l’amende, le RGPD prévoit des seuils à ne pas dépasser. Il y a lieu de distinguer deux catégories d’infractions :

Ajuster le montant final obtenu afin qu’il réponde aux exigences d’efficacité, de dissuasion et de proportionnalité

Avant de valider le montant de l’amende qu’elle estime devoir prononcer, l’autorité de contrôle devra vérifier que celui-ci est approprié et nécessaire pour atteindre les objectifs qu’elle poursuit, à savoir protéger les personnes physiques à l’égard des traitements de leurs données à caractère personnel et encadrer les conditions de circulation de ces données.

***

Toute l’activité de l’organisme et toutes ses démarches de conformité sont donc passées au crible par les autorités de contrôle lors de leur enquête. Le montant des amendes susceptibles d’être prononcées à l’issue de ces investigations peut s’avérer particulièrement élevé. Ces sanctions pécuniaires peuvent dès lors affecter profondément l’équilibre budgétaire de l’entité condamnée.

Puisque, en matière de protection des données, chaque détail compte, il est recommandé de vous faire accompagner dans vos efforts par des professionnels aguerris, à l’écoute de vos besoins et de vos contraintes.

[1] Le Comité Européen de la Protection des Données (CEPD) est un organe européen indépendant institué par le RGPD, et qui a pour mission de contribuer à l’application cohérente des règles en matière de protection des données au sein de l’Union Européenne.

[2] Ces lignes directrices sont disponibles dans leur intégralité à l’adresse suivante (uniquement en anglais) : https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

[3] L’infraction est considérée comme délibérée lorsque le responsable de traitement avait non seulement conscience qu’il manquait à ses obligations légales, mais s’est maintenu volontairement et en toute connaissance de cause dans cette illégalité.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

28 octobre 2022

Votre registre de traitement

News, Thématiques

Votre registre des activités de traitement : tout un chantier ?

RGPD-Experts vous empêche de foncer droit dans le mur !

Vos démarches en matière de protection des données personnelles constituent une préoccupation de plus, s’ajoutant à votre stratégie de développement, à votre organisation interne et au lot d’imprévus qu’impliquent vos activités ?

Vous avez plusieurs chantiers en route et ne savez plus où donner de la tête pour consacrer à la protection de vos données personnelles tout le temps et toute l’énergie qu’elle mérite ? Vous frappez à la bonne porte en vous adressant à RGPD-Experts !

ZOOM SUR LE PRINCIPE D’ « ACCOUNTABILITY »

Le principe d’Accountability est une innovation issue du Règlement Général sur la Protection des Données (RGPD).

→ Avant l’entrée en vigueur de ce texte, il revenait à l’autorité de contrôle de démontrer qu’une entité ne satisfaisait pas aux exigences légales en matière de protection des données.

→ Depuis, il appartient à l’organisme de démontrer sa conformité auprès de l’autorité régulatrice, voire auprès de ses partenaires commerciaux.

Et pas question d’essayer d’arrondir les angles en cas de demande de la CNIL^[1] sur ce point ! Si vous vous emmêlez les pinceaux dans l’explication de vos efforts sur le sujet, la Commission pourrait sortir de ses gonds. Vous risquez alors qu’elle initie une enquête à votre encontre, voire vous inflige une sanction prenant fréquemment la forme d’une amende administrative salée. Cela suppose donc de ménager la preuve de votre respect des règles applicables sur la protection des données personnelles, et de graver dans le marbre toutes les actions que vous avez accomplies en ce sens.

ZOOM SUR UNE OBLIGATION CENTRALE : LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

L’article 30 du RGPD impose à tous les responsables de traitement et à tous les sous-traitants de tenir par écrit un registre de leurs activités de traitement, que ce soit de façon manuscrite ou digitale.

→ Qu’est-ce qu’une activité de traitement ?

Selon l’article 4(2) RGPD, il s’agit d’une “opération ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement)” .

Remarque : si les entités comptant moins de 250 employés ou membres bénéficient en principe d’une dérogation pour la tenue de ce registre, cette mesure de faveur comporte de nombreuses limites. En effet, ces organismes doivent tout de même consigner dans un registre les traitements :

(1) Portant sur des données sensibles ;

(2) Comportant un risque pour les droits et libertés de personnes concernées ;

(3) Présentant un caractère non occasionnel.

Or, la plupart des activités de traitement des entreprises sont récurrentes (traitements mis en œuvre pour la gestion de la paie, des clients/prospects, des fournisseurs, gestion d’un SAV, qualité, sollicitations commerciales, etc.). Eh oui, envoyer une newsletter une fois par an est bien un traitement récurent ! Aussi comme vous pouvez le constater, Les hypothèses couvertes par cette exception sont donc, en pratique, maigres comme un clou…

Nous ne pouvons que vous conseiller de parfaitement documenter les raisons pour lesquelles, vous êtes exonéré de la tenue d’un registre des activités de traitement pour votre structure.

Avant de constituer votre registre, nous vous recommandons de :

① Recenser l’ensemble des traitements de données mis en œuvre au sein de votre organisme

En effet, votre registre doit comprendre une fiche par activité de traitement de données effectué, quel que soit le support de ce système d’information (numérique ou papier). Attention à ne pas confondre finalité et outil utilisé pour la finalité du traitement. Word, Excel, par plus que MySQL etc, ne sont pas des traitements.

Chaque opération poursuivant une finalité différente doit être listée.

Exemple : une fiche de traitement pour la gestion des données de ressources humaines de votre organisme, une pour la gestion de vos fichiers de clientèle, etc.

② Identifier le rôle de chacun des acteurs de ce traitement de données

Cette étape vous permet de savoir si vous agissez en tant que responsable de traitement, en qualité de sous-traitant, voire responsable conjoint de traitement ^[2].

Vous serez en effet soumis à des devoirs différents, selon votre qualité.

③Analyser les risques pesant sur chaque traitement de données mis en œuvre, afin de ne conserver que ceux strictement nécessaires à votre activité.

Nous n’inventons pas l’eau chaude en vous rappelant que limiter le nombre de ces opérations de traitement revient à limiter d’autant vos risques de violer les règles en vigueur en matière de protection des données, et donc de voir votre responsabilité engagée…

* * *

Le contenu de ce registre est précisément défini par les textes. Les mentions devant obligatoirement y figurer sont tirées au cordeau au sein de l’article 30 du RGPD.

Nous attirons votre attention sur le fait que ce registre doit refléter la réalité de l’activité spécifiquement poursuivie par votre organisme. Nous vous déconseillons de recourir à des modèles types de registre qui ne correspondent pas avec les missions concrètement poursuivies par votre entité.

De même, il convient de prendre du temps pour mettre régulièrement à jour ce registre. Il y a lieu d’éviter toute actualisation en dents de scie, effectuée au gré de l’emploi du temps des personnes en charge de cette tâche. Or, tel est précisément le problème que rencontrent de nombreux organismes. Le caractère chronophage de certaines formalités affecte souvent l’assiduité des entités dans leurs démarches de conformité. Mais, à force de négliger ces impératifs, celles-ci pourraient malheureusement se retrouver au pied du mur en cas de réclamations ou d’investigations…

Fini de devoir choisir entre la poursuite de vos activités et le respect de vos obligations légales en matière de protection des données. Pour que vous n’ayez plus la tête entre le marteau et l’enclume, RGPD-Experts a conçu une solution révolutionnaire pour vous remettre d’aplomb !

ZOOM SUR REGISTER +, VOTRE SOLUTION POUR CONSTRUIRE SIMPLEMENT ET EFFICACEMENT VOTRE CONFORMITÉ

Outre son caractère impératif, le registre des activités de traitement présente de nombreux avantages s’il est sérieusement constitué. Il s’avère alors être un outil précieux pour :

L’identification de vos besoins et de vos obligations en matière de protection des données
Le pilotage de votre conformité
La démonstration de votre conformité (Accountability)

Pour vous aider à tirer pleinement profit de cette documentation, RGPD-Experts a mis au point pour vous REGISTER +. Intuitif et sécurisé, ce logiciel vous permettra de rédiger et de mettre à jour votre registre des activités de traitement en toute simplicité, et de superviser vos actions RGPD en temps réel.

REGISTER + ne se contente pas de vous rappeler les informations devant impérativement figurer dans votre registre.

Il vous aide à bâtir une véritable logique de performance et d’amélioration continue en matière de protection des données à travers ses diverses fonctionnalités, et notamment :

Ses audits automatisés de votre situation sur cette problématique
Ses dispositifs de détection automatisée des vulnérabilités de vos systèmes d’information ;
Son module d’affectation et de suivi des tâches à accomplir, avec date programmée et relances automatiques ;
Ses options de gestion de vos autres documents essentiels (registre des formations, des violations de données et failles de sécurité, des sous-traitants, des demandes des droits des personnes concernées, etc.).

L’interface flexible de REGISTER + vous permettra d’adapter le contenu de ce registre à vos propres activités, via des options de “commentaires” et de “détails”.

Pour plus d’informations, nous vous invitons

A consulter l’onglet dédié de notre site Internet :

https://www.rgpd-experts.com/register/#prev

Ou à nous adresser vos questions via notre formulaire de contact :

https://www.rgpd-experts.com/contactez-rgpd-experts/

Comme tout sujet pilier de votre organisme, votre conformité mérite d’être construite sur des fondements solides. Il est important pour cela d’être bien outillé, afin d’éviter de vous faire serrer la vis par les autorités de régulation en matière de protection des données. Avec REGISTER +, soyez à pied d’œuvre en cas de contrôle !

^[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

^[2] Est un responsable de traitement au sens du RGPD toute personne physique ou morale qui détermine les moyens et les finalités du traitement, là où le sous-traitant sous-traitant traite des données pour le compte d’un autre organisme.

L.H

24 octobre 2022

Sanction infogreffe

Actualités, Thématiques

La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.

La CNIL[1] a, ces derniers temps, montré sa volonté de renforcer ses contrôles. Le 8 septembre 2022, sa formation restreinte a ainsi condamné la société INFOGREFFE à une amende de 250 000 euros pour avoir conservé trop longtemps les données personnelles des abonnés de son site Internet[2].

Il est temps que l’info se greffe à tous : la législation en vigueur en matière de protection des données n’autorise pas une conservation infinie des données collectées.

Infogreffe.fr ? Un service pour gagner du temps dans ses recherches et formalités

INFOGREFFE est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce français. Il propose, entre autres, d’accéder en un rien de temps aux informations légales concernant les entreprises nationales, via son site Internet « infogreffe.fr ».

Certains documents ne peuvent cependant être visualisés qu’à condition de se créer un compte payant. A cette occasion, l’entité recueille de nombreuses données personnelles sur ses abonnés : nom, prénom mais aussi coordonnées et données bancaires. Or, un des membres d’INFOGREFFE s’est aperçu que celui-ci conservait en clair les mots de passe de ses utilisateurs, et se permettait même de les communiquer par téléphone sur simple demande nominative au service d’assistance. Autrement dit, n’importe qui peut obtenir les données de connexion d’un abonné en se faisant passer pour lui lors d’un appel avec l’organisme.

Cette pratique constitue un manquement grave à l’obligation faite depuis la nuit des temps au responsable de traitement d’assurer la protection des données personnelles qu’il manipule[3]. Un comble au regard du slogan « Entreprendre en confiance » accompagnant le logo d’INFOGREFFE…

Mais surtout, la plainte de cet individu a donné lieu à l’ouverture d’une enquête par la CNIL, qui a révélé – en plus – une violation du GIE aux règles applicables en matière de conservation des données. C’est ce thème particulier, qui n’attire en temps ordinaire pas beaucoup l’attention, que nous allons ici examiner.

Détermination des durées de conservation

Le responsable de traitement ne peut pas garder indéfiniment les données personnelles qu’il recueille.

Il ne peut les conserver sous une forme permettant l’identification des personnes concernées que « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées » (art. 5(1)(e) RGPD). Cela suppose donc de prendre le temps de définir clairement, en amont, à quoi vous serviront ces données.

—–> La loi prévoit parfois une durée minimum de conservation des données

Exemple : l’article L.3243-4 du Code du travail impose à l’employeur de conserver un double des bulletins de paie de ses salariés pendant au moins 5 ans.

—–> Lorsque cela n’est pas le cas, cette durée est laissée à la libre appréciation du responsable de traitement. Celui-ci devra être en mesure de justifier que la période qu’il a arrêtée est proportionnelle à l’utilisation projetée des données[4].

Remarque :les personnes concernées doivent être informées de cette durée de conservation lors de la collecte de leurs données personnelles ou, lorsque cela n’est pas possible, des critères utilisés pour déterminer cette durée (art. 13(2)(a) et 14(2)(a) RGPD). L’organisme ne peut pas se contenter d’utiliser des phrases génériques lui permettant de faire la pluie et le beau temps sur le sujet, telle que « notre société ne conservera vos données que pour une période limitée ».

A) La conservation en base active

Les données sont conservées de façon à être facilement accessibles, car elles servent encore à réaliser l’objectif pour lequel elles ont été collectées (la finalité du traitement).

Exemple ici : un fichier recensant les abonnés du site « infogreffe.fr » ayant encore un compte actif.

ATTENTION – la conservation en base active des données n’exempte pas le responsable de traitement d’assurer, dans le même temps, leur protection. Il doit veiller à ce que ces informations soient stockées et exploitées dans un environnement sécurisé.

B) L’archivage intermédiaire

Même si la raison pour laquelle les données avaient été initialement recueillies a disparu, l’organisme peut de temps en temps avoir un intérêt administratif à garder ces renseignements. Certaines dispositions législatives ou réglementaires peuvent d’ailleurs le lui imposer.

Exemple ici : les factures et documents comptables émis par le site « infogreffe.fr » doivent être conservés pendant 10 ans, alors même que l’intéressé ne serait plus abonné, conformément à l’article L.123-22 du Code du commerce.

Cette étape suppose que l’organisme opère un tri entre les données qu’il estime devoir garder, et celles qui ne lui sont plus d’aucune utilité.

Les données personnelles toujours nécessaires devront être stockées dans des espaces distincts de celles conservées en base active. Elles ne pourront être consultées que de manière ponctuelle, par des personnes spécialement habilitées justifiant de leur besoin d’en connaître.

En l’occurrence, la « Charte de confidentialité » du site web « infogreffe.fr » prévoyait que les données de ses abonnés seraient conservées pendant 36 mois à compter de la dernière commande de prestation et/ou de documents, sans prendre en compte une possible extension de cette période pour la prévention des contentieux.INFOGREFFE a omis à tort de détailler, dans sa politique de durées de conservation des données, qu’il entendait garder ces informations plus longtemps pour d’éventuelles opérations de recouvrement.

D) L’archivage définitif

Lorsque les données personnelles ont fait leur temps et ne présentent plus aucun intérêt pour l’organisme, elles doivent être détruites. Cette opération doit être menée régulièrement et en temps utile. Une suppression fréquente des données obsolètes joue tant en faveur des personnes concernées que de l’entité

Exemple : en cas de cyberattaque, l’ampleur de la violation des données personnelles exploitées par l’organisme sera ainsi limitée, ce qui pourra être un argument pour diminuer d’autant sa responsabilité.

ATTENTION – Des règles spécifiques s’appliquent à l’égard des archives publiques et des données présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles ne fassent l’objet d’aucune destruction. Ces régimes singuliers sont notamment inclus au sein du Code du patrimoine.

« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »

Application de la durée de conservation

La seule détermination d’une durée maximale de conservation des données ne suffit pas à être conforme. Encore faut-il prendre les mesures qui s’imposent pour traduire cet engagement dans les faits. Ici, les investigations de la CNIL ont révélé que les données collectées par INFOGREFFE n’ont pas été supprimées à temps. Un quart des données des comptes souscrits sur son site a en effet été conservé au-delà des 36 mois affichés par l’organisme.

Votre conformité suppose de vous doter des moyens humains, matériels et financiers nécessaires pour concrétiser votre politique de durée de conservation des données. » Votre vigilance ne doit pas être un passe-temps mais bien une occupation à plein temps.

Remarque : l’obligation de limiter la durée de conservation ne vise que les données « permettant l’identification des personnes concernées ». Elle est donc écartée lorsque les données ont été anonymisées, c’est-à-dire lorsqu’un ensemble de techniques ont été employées pour rendre impossible, et de manière irréversible, toute identification de la personne.

Exemple : remplacer les données identifiantes (nom, prénom…) par des données non identifiantes (alias, numéro…).

Le cas d’INFOGREFFE révèle que la CNIL peut, lors de son contrôle, mettre en évidence d’autres problèmes que ceux pour lesquels elle avait été saisie. En l’absence d’une « démarche RGPD continue » au sein de votre organisme, il vous sera impossible de rectifier l’ensemble de vos lacunes à temps pour les camoufler aux yeux de la Commission.

“Que tout le temps qui passe, ne se rattrape guère… Que tout le temps perdu, ne se rattrape plus !” Barbara

Par les temps qui courent, nous ne pouvons que vous conseiller de ne pas perdre de temps pour assurer votre mise en conformité et votre maintien en conformité.

Soyez dans l’air du temps, et automatisez vos process !

RGPD-Experts a conçu pour vous REGISTER +, un registre des activités de traitement entièrement dématérialisé permettant de suivre simplement et efficacement votre conformité.

Dotée entre autres d’une fonction de stockage et d’archivage des anciens traitements de données, REGISTER + sera pour vous un précieux outil de pilotage de vos démarches RGPD. Cette solution dispose notamment de modules vous permettant d’affecter et de suivre des tâches à date programmée, idéals pour une gestion organisée et sereine des durées de conservation de vos données.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La délibération complète de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all

[3] En effet, cette obligation n’est pas une nouveauté issue du Règlement Général sur la Protection des Données (RGPD), mais est imposée depuis plus de quarante ans par la loi dite « Informatique et Libertés » du 06 janvier 1978.

[1] Les référentiels et anciennes normes simplifiées de la CNIL peuvent servir de guides en la matière.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

11 octobre 2022

Géolocalisation des véhicules de location

Actualités, News, Thématiques

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

Comme bon nombre de français, vous avez peut-être été amenés à louer une voiture au cours de ces derniers mois, que ce soit pour vos déplacements professionnels ou à l’occasion de vos vacances. Mais, bien qu’utiles, ces services ne sont pas toujours exemplaires lorsqu’il s’agit de protéger les données à caractère personnel de leurs clients.

Les radars de la CNIL viennent de se diriger contre les pratiques de la société UBEEQO INTERNATIONAL. Ces filiales du groupe « EUROPCAR MOBILITY GROUP », présentes dans plusieurs pays européens, proposent une offre de location de véhicules partagés intégralement numérique.

UBEEQO INTERNATIONAL en a sous le capot pour garantir à ses clients la « flexibilité de service » qu’il vante tant. L’idée est simple : les voitures sont laissées en libre accès dans des zones dédiées. Les personnes intéressées s’inscrivent en ligne, en indiquant notamment leurs dates et le lieu où elles souhaitent récupérer le véhicule. A la fin de leur période de location, elles restituent leur bolide au même endroit, sans qu’aucun membre du personnel d’UBEEQO INTERNATIONAL ne soit jamais intervenu.

Mais derrière cette liberté et cette simplicité apparentes, se cache une tout autre réalité. Les traitements de données mis en œuvre par UBEEQO INTERNATIONAL pour gérer son activité ont récemment fait l’objet d’un contrôle, non pas routier, mais du gendarme français de la protection des données personnelles.

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

L’enquête menée par la CNIL[1] a révélé que les véhicules mis à disposition par UBEEQO INTERNATIONAL sont géolocalisés lorsque leur moteur s’allume ou s’éteint, à chaque fois que leurs portes sont ouvertes et fermées, et tous les 500 mètres lorsqu’ils se déplacent. La filiale est également capable d’activer à distance un dispositif permettant de situer ses voitures en temps réel.

Ces paramètres induisent mécaniquement une géolocalisation quasi-permanente des conducteurs.

L’AUTOrité régulatrice a conclu que la société avait principalement manqué à trois des exigences issues du Règlement Général sur le Protection des Donnés (RGPD). Elle qualifie ces dérapages comme étant :

① Une violation du principe de minimisation des données

Conformément à l’article 5(1)(c) du RGPD, le responsable de traitement ne peut pas recueillir n’importe quels type et volume de données personnelles. Il ne peut collecter que les seules données adéquates et pertinentes lui permettant d’atteindre l’objectif qu’il poursuit.

UBEEQO INTERNATIONAL a tenté d’enjoliveur… pardon d’enjoliver…les finalités de sa collecte massive des données de géolocalisation de ses automobiles, en indiquant que celle-ci était indispensable pour :

La gestion de son activité (assurer la maintenance de ses véhicules, contrôler le passage d’une voiture dans et hors d’une zone de péage urbain, son éventuelle restitution dans un autre endroit…);
Retrouver les voitures louées en cas de vol ;
Porter assistance à ses clients, notamment en cas d’accident.

La CNIL a toutefois décidé qu’aucune de ces finalités ne justifie une collecte aussi fine et excessive des données de géolocalisation des conducteurs par UBEEQO INTERNATIONAL.

Elle estime que la société dispose de moyens moins attentatoires au droit au respect de la vie privée des chauffeurs pour parvenir à ses fins. Elle l’invite à trouver d’autres alternateurs…euh alternative pour maîtriser sa flotte de véhicules. Les positions géographiques des automobilistes peuvent par exemple être consignées uniquement au début et à la fin de la location plutôt que sur l’ensemble de leur période de location, ou seulement à compter d’un fait générateur (demande d’assistance ou suspicion de vol).

Le feu vert du Comité Européen de la Protection des Données (CEPD)

Dans ses lignes directrices du 4 octobre 2017, le « Groupe de travail de l’article 29 »[2] a qualifié les données de géolocalisation comme étant des « données à caractère hautement personnel ». Et pour cause, elles ont un impact sur une liberté fondamentale : la liberté de circulation[3].

Ces données sont également un point d’entrée dans l’intimité des personnes concernées. Elles permettent en effet de déduire leurs habitudes de vie en fonction de leurs déplacements : leur lieu de travail et donc leur activité professionnelle, leur domicile, voire leur religion, leur orientation sexuelle ou leur état de santé, selon les lieux qu’elles fréquentent.

② Une violation du principe de limitation des durées de conservation des données

L’article 5(1)(e) du RGPD impose que les données personnelles ne soient conservées que pendant une durée limitée, « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles traitées ».

Il appartient au responsable de traitement de déterminer cette durée, selon ses besoins et les spécifiés de son activité. Il lui revient également de justifier sa décision en cas de contrôle.

En l’occurrence, UBEEQO INTERNATIONAL avait défini une politique de conservation des données fixant à trois ans la durée de conservation des données de géolocalisation des conducteurs.

La CNIL considère ce délai excessif, en ce qu’il commençait à courir non pas à compter de la fin du contrat de location, mais de la fin de la relation commerciale avec le client. Or, celle-ci peut intervenir bien après la prestation de service, puisque la date d’arrêt d’une relation commerciale correspond à celle de la dernière manifestation d’intérêt du client (suppression d’une réservation en cours sur l’application de la société, clic sur le lien d’une newsletter émise par l’entreprise, connexion à son compte individuel…).

L’autorité de contrôle n’a pas apprécié ce problème de compteur. Elle a jugé que cette période de trois ans dépassait les besoins de la société. Elle déclare qu’UBEEQO INTERNATIONAL pouvait décemment gérer à distance son parc automobile, porter assistance à ses clients et localiser ses voitures volées en enregistrant la position de ses véhicules durant un temps plus court.

Mais surtout, la CNIL a insisté sur le fait qu’il ne suffit pas de définir une politique de conservation des données pour être conforme. L’important est de la respecter. Or, en l’espèce, les investigations menées par la Commission ont révélé que les systèmes d’information d’UBEEQO INTERNATIONAL stockaient des historiques de géolocalisation d’utilisateurs pourtant inactifs depuis plus de huit ans. Preuve que la conformité de la société est un pneu…oups un peu moins aboutie dans les faits qu’elle ne veut bien le prétendre.

③ Une violation de l’obligation d’information des personnes concernées

Pour finir, il est reproché à UBEEQO INTERNATIONAL d’avoir manqué à son obligation d’information à l’égard de ses clients.

Ces derniers doivent être renseignés sur l’existence d’un traitement de leurs données personnelles et sur les principales caractéristiques de ce traitement[4]. L’article 12 du RGPD prévoit que cette information doit être fournie d’une façon « concise, transparente, compréhensible et aisément accessible ».

Dans cette affaire, au moment de remplir leur formulaire d’inscription, les utilisateurs de l’application et du site Internet d’UBEEQO INTERNATIONAL pouvaient uniquement cliquer sur un lien les renvoyant vers les conditions générales d’utilisation, qui contenaient elles-mêmes un autre lien permettant d’accéder à la politique de confidentialité de la société.

Ces pratiques ne sont pas AUTOrisées. Le fait que la politique de protection des données d’UBEEQO INTERNATIONAL ne soit pas clairement différenciée, à première vue, des autres documents contractuels de l’entreprise (les conditions générales d’utilisation) et qu’elle ne puisse être obtenue qu’après un parcours de plusieurs clics ne permet pas de la consulter facilement. Le critère d’accessibilité fait défaut.

UBEEQO INTERNATIONAL va devoir se serrer la ceinture. Pour répondre de toutes ces violations, la CNIL l’a condamné le 7 juillet 2022 à payer une amende administrative de 175.000 euros[5] ! Si la société de location de véhicules semble avoir négligé de s’interroger sur l’impact de la législation en vigueur en matière de protection des données sur sa propre activité, elle s’est ainsi pris un sacré retour de manivelle !

« Les nouveaux usages des données de géolocalisation » étaient l’un des thèmes prioritaires de contrôle de la CNIL en 2020. L’enquête menée spontanément par la Commission à l’encontre d’UBEEQO INTERNATIONAL prouve que les axes d’investigations qu’elle définit chaque année ne sont pas de simples déclarations de principe.

Les trois thématiques prioritaires de contrôle de la CNIL pour l’année 2022 sont :

– La prospection commerciale ;

– Les outils de surveillance mis en place dans le cadre du télétravail ;

– Les services de cloud.

Si votre organisme est concerné par l’une ou plusieurs de ces situations, nous vous conseillons de vous faire accompagner dans vos démarches de conformité par des professionnels. Ne risquez pas à votre tour un accrochage avec l’autorité de contrôle !

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 du 04 octobre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf.

[3] Le « Groupe de travail de l’article 29 », dit « G29 », a été remplacé par le Comité Européen sur la Protection des Données (CEPD) à l’occasion de l’entrée en vigueur du RGPD.

[4] Les mentions obligatoires devant figurer dans ces informations diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées. Elles sont prévues aux articles 13 et 14 du RGPD.

[5] La délibération SAN-2022-015 de la CNIL du 7 juillet 2022 est disponible dans son intégralité à l’adresse suivante : ici

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

2 septembre 2022

Le coût de la conformité

Actualités, Thématiques

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

A l’occasion de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, de multiples responsables d’organismes ont appréhendé cette législation comme une contrainte supplémentaire inhibant la gestion de leurs activités.

Six ans passés après l’adoption de ce texte, nombre d’entre eux continuent de percevoir les questions relatives à la protection des données personnelles uniquement comme un trou dans leur portefeuille et une source de dépenses inutiles. Mais est-ce vraiment le cas ?

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

La mise en conformité initiale d’une entité et le maintien de sa conformité l’exposent effectivement à s’acquitter de diverses charges.

Mettre en place et tenir à jour un registre des activités de traitement, réaliser des analyses d’impact sur la protection des données, créer des procédures internes, gérer efficacement les demandes d’exercice de droits des individus concernés, former et sensibiliser ses collaborateurs sur ces problématiques voire recruter des personnes compétentes… : respecter la législation applicable en matière de protection des données personnelles suppose la mobilisation de moyens humains et matériels non négligeables.

Cela implique généralement l’installation de dispositifs techniques appropriés, ainsi que l’aménagement de créneaux dédiés à la prise en compte de ces enjeux dans l’emploi du temps des professionnels impliqués. Or, cela est bien connu : « le temps, c’est de l’argent » !

Force est donc de reconnaître que l’instauration de ces mesures nécessite que l’entité verse pour ce faire un peu de sa poche...

Plutôt que de dresser des comptes d’apothicaires afin de calculer l’impact de vos démarches de conformité sur votre budget, nous attirons votre attention sur le fait que le RGPD permet une certaine flexibilité. Vos efforts doivent être adaptés à la réalité des missions menées par votre organisme.

Le degré d’exigence de ce règlement diffère selon l’importance des menaces que représente votre activité pour la protection des données personnelles.

Les mesures à instaurer ne seront ainsi pas les mêmes d’un organisme à l’autre selon le volume de données personnelles qu’il traite quotidiennement, le caractère sensible ou non de ces informations, ou encore le nombre de personnes manipulant ces renseignements.

Il n’y a donc pas forcément besoin de sortir les grands moyens ! Des mesures allégées peuvent, selon les cas, parfaitement suffire à honorer ces obligations légales.

Le coût de votre conformité s’avère donc un coût maitrisé, et potentiellement limité.

Reste à savoir si ces frais sont pour autant de l’argent jeté par les fenêtres. Rien n’est moins sûr…

Plutôt que de prendre pour argent comptant la prétendue onérosité de votre conformité, examinons pourquoi ces sommes constituent en réalité un investissement et non une perte sèche pour vos finances.

Oui, oui, vous avez bien lu : il s’agit bien d’un INVESTISSEMENT !

① Les économies réalisées grâce à votre conformité

Contrairement aux croyances populaires, l’application des dispositions du RGPD a pour effet, en pratique, d’optimiser le fonctionnement de vos opérations de traitement de données. Elle participe ainsi aux démarches d’amélioration continue de votre organisme[1].

En ce sens, votre conformité est incontestablement un gage d’efficacité et de compétitivité. Nul doute que vous en aurez pour votre argent !

Elle constitue aussi un atout commercial, dès lors qu’elle favorise la confiance de vos interlocuteurs dans votre capacité à assurer la sécurité des informations personnelles qu’ils vous confient.

D’autant que ce critère figure désormais parmi ceux exigés par les collectivités publiques dans le cadre de leurs appels d’offre. La conclusion de tels contrats dépend donc entre autres de votre conformité.

② Les pertes évitées grâce à votre conformité

Loin d’épargner votre trésorerie, les manquements à la législation en vigueur en la matière peuvent, à l’inverse, compromettre gravement la situation financière de votre organisme…

Intérêt n°1 : Prévenir les risques de piratage et autres attaques informatiques, qui pourraient vous dépouiller d’informations précieuses

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions dans des systèmes d’information a augmenté de 37% entre 2020 et 2021, et équivaut à 3 cyberattaques par jour.

Les TPE (“Très Petites Entreprises”), PME (“Petites et Moyennes Entreprises”) et ETI (“Entreprises de Taille Intermédiaire”) représenteraient 34% des victimes de cette cybercriminalité en 2021[2 ]

La législation en vigueur sur la protection des données se révèle être une opportunité de sécuriser la valeur de votre patrimoine informationnel (liste de clients, stratégies économique et commerciale de la structure, études de marché, etc.). Elle vous invite indirectement à prendre les précautions qui s’imposent pour éviter que ces éléments ne soient exploités à votre détriment par des tiers malveillants.

Intérêt n°2 : Se prémunir des risques de condamnations administratives et pénales, et d’une certaine banqueroute

Parmi ses multiples missions, la Commission Nationale de l’Informatique et des Libertés[3] (CNIL) veille notamment au respect des règles applicables en matière de protection des données. Elle a le pouvoir de sanctionner les violations qu’elle constate, notamment en prononçant des amendes administratives.

Le montant de ces amendes peut s’avérer particulièrement salé, puisqu’il est susceptible de s’élever – selon les manquements relevés – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant retenu.

Lorsque ces violations constituent une infraction, les entités non-conforment encourent également des poursuites pénales. Ces dernières peuvent aboutir au prononcé d’une peine d’emprisonnement de 5 ans et d’une amende allant jusqu’à 300.000 euros pour les personnes physiques, et à 1,5 millions d’euros pour les personnes morales[4].[5]

La CNIL ne cesse de mener une politique répressive de plus en plus rigoureuse. Elle a déclaré avoir procédé en 2021 à 384 contrôles. Le montant cumulé des amendes prononcées cette même année a atteint plus de 214 millions d’euros⁵.

Votre conformité peut donc vous épargner de faire valser des millions dans le vide…

Intérêt n°3 : Empêcher la dévalorisation de votre image de marque et votre discrédit

Les échos de la non-conformité d’un organisme sont susceptibles de porter considérablement atteinte à sa réputation. Ils peuvent amenuir son attractivité aux yeux de ses partenaires commerciaux, de ses fournisseurs, et surtout de ses clients.

Les exigences de ces derniers concernant les mesures prises pour assurer la protection de leurs données personnelles se sont accrues au cours des dernières années. En cas de lacunes de votre structure sur ce point, vos clients risquent ainsi de vous tourner le dos au bénéfice de concurrents plus vigilants…

Votre non-conformité peut également diminuer considérablement la valorisation de votre société lors de sa cession ou de sa fusion avec une autre entité. Vous savez ce qu’il vous reste à faire pour rouler sur l’or !

***

Mettre à mal votre conformité par soucis d’économie vous expose donc paradoxalement à de lourds risques financiers. Comme le résume l’adage, l’on ne peut pas avoir le beurre et l’argent du beurre !

Votre conformité vaut donc son pesant d’or !

Refuser d’engager des dépenses pour assurer la protection des données personnelles que votre organisme manipule pourrait se retourner contre vous. Ne tuez pas la poule aux œufs d’or !

L.H

[1] Pour plus d’informations concernant les bénéfices que votre organisme peut tirer de sa conformité, nous vous invitons à consulter notre précédent article sur le sujet à l’adresse suivante : https://www.rgpd-experts.com/rgpd-cest-pas-la-mer-a-boire/.

[1] Communiqué de presse de l’ANSSI du 09/03/2022, « Une année 2021 marquée par la professionnalisation des acteurs malveillants », https://www.ssi.gouv.fr/uploads/2022/03/cp_anssi_panorama_09032022.pdf.

[3] La CNIL est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] Conformément aux articles 226-16 et suivants, et 131-38 du Code pénal.

[5] Extrait de la conférence de presse de la Commission du 11 mai 2022 relative à la « présentation du rapport d’activité 2021 et des enjeux 2022 de la CNIL », https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2021_et_enjeux_2022_vf.pdf.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

26 juillet 2022

Sanction Total Énergies

Actualités, News, Thématiques

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

Après deux ans d’enquête, la CNIL [1] a condamné la société TOTAL ÉNERGIES ÉLECTRICITÉ ET GAZ France au paiement d’une amende d’un million d’euros. Sa décision du 23 juin 2022 sanctionne deux principaux manquements du fournisseur d’énergie à la législation en vigueur en matière de protection des données à caractère personnel[2].

RGPD-Experts vous tient au courant des règles pourtant fondamentales mises en cause dans cette affaire.

① Violation des règles relatives à la prospection

Saisie de 27 plaintes de particuliers, la Commission a pris la température de la conformité de TOTAL ÉNERGIES.

Elle a tout d’abord constaté les pratiques inadaptées de la société dans le cadre de ses campagnes de relance de prospects.

TOTAL ÉNERGIES a effectivement recontacté de nombreux clients potentiels par courrier ou par téléphone grâce aux informations personnelles que ceux-ci lui avaient fournies en ligne pour obtenir des devis, ce sans avoir préalablement recueilli leur consentement à recevoir des offres commerciales comme l’exige l’article L. 34-5 du Code des postes et des communications électroniques[3].

Or, ces prospects avaient accepté de renseigner leurs coordonnées sur le site Internet de l’entreprise pour une finalité précise, à savoir la souscription d’un possible contrat. Le fait d’utiliser ces informations pour leur vanter par la suite les avantages ou promotions proposées par TOTAL ENERGIES constitue une seconde finalité à l’exploitation de leurs données, pour laquelle ces internautes n’avaient pas donné leur accord.

Le formulaire de collecte de données en question mentionnait uniquement que :

« En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Énergie pour vous présenter ultérieurement ses offres »

L’usage de phrases génériques de ce type est à proscrire. Dans ces conditions, les intéressés n’étaient en effet pas en mesure de donner expressément leur consentement à ce que leurs coordonnées soient utilisées à des fins de prospection, alors même que les textes imposent que leur accord résulte d’un acte positif clair.

La CNIL a également conclu à un manque d’information ou une information incomplète des prospects démarchés par téléphone.

Lors de ces appels, les collaborateurs de TOTAL ÉNERGIES ne les renseignaient pas sur les principales caractéristiques du traitement de leurs données personnelles ainsi que sur leurs droits en la matière, en violation des articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD).

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

– Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

– Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

– Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

– Instaurer un mécanisme permettant aux personnes concernées d’obtenir l’ensemble des informations requises par les articles 13 et 14 du RGPD. Vous pouvez par exemple les inviter à appuyer sur une touche de leur clavier de téléphone les renvoyant vers une personne compétente ou activant la lecture d’un message préenregistré.

② Violation des règles relatives au respect des droits des personnes concernées

Les dispositions issues du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée reconnaissent divers droits aux personnes concernées par le traitement de leurs données, afin qu’elles puissent en conserver la maitrise.

Comment briller sur ce point ?

L’étendue de ces prérogatives dépend de la nature du traitement de données en question. Elles se traduisent notamment, et selon les cas, dans le droit :

D’accéder à ses données et/ou d’en obtenir une copie ;
De les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
De les effacer ;
De limiter le traitement de ses données ;
Du droit à la portabilité de ses données ;
De s’opposer au traitement de ses données personnelles ;
De formuler des directives sur le sort de ses données après son décès auprès d’un tiers de confiance ;
De retirer à tout moment son consentement au traitement de ses données, si telle est la base légale du traitement ;
D’introduire une réclamation auprès de la CNIL.

Or, il y a justement eu de l’eau dans le gaz sur le sujet entre le fournisseur d’énergie et le gendarme français de la protection des données personnelles… La CNIL a en effet mis en évidence les lacunes de TOTAL ÉNERGIES dans la gestion des demandes d’exercice de droit formulées par ses clients et prospects.

L’autorité régulatrice révèle que la société n’a pas respecté les modalités de réponse imposées par les textes, voire s’est parfois purement abstenue de traiter ces requêtes, en particulier des demandes d’accès de clients à leurs données et leur opposition à être inscrits sur ses listes de prospection commerciale.

Lorsqu’un individu porte à la connaissance du responsable de traitement sa volonté d’exercer l’un de ses droits, ce dernier est tenu de lui indiquer les suites données à sa requête « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (article 12 RGPD)[4].

Ce délai de réponse peut être prolongé de deux mois, notamment en raison de la complexité ou du nombre de demandes adressées au responsable de traitement, et à condition d’informer le demandeur de ce report et de ses motifs.

Les investigations de l’autorité régulatrice ont ici permis de constater de multiples retards dans les réponses données aux clients et prospects ayant demandé à TOTAL ÉNERGIES d’exercer leurs droits.

La CNIL souligne le fait que la société ne pouvait pas se retrancher derrière le manque de coopération de ses partenaires commerciaux lui vendant les coordonnées de prospects pour justifier ces retards.

En effet, il lui appartient en tant que responsable de traitement de s’organiser pour pouvoir répondre aux demandes d’exercice de droit d’accès aux données dans les délais requis par la loi. Elle précise en outre que TOTAL ÉNERGIES pouvait aussi communiquer aux demandeurs les informations dont elle disposait les concernant au fur et à mesure que celles-ci lui étaient transmises, plutôt que de se taire mécaniquement.

TOTAL ÉNERGIES a également essayé de se défendre en argumentant que certains plaignants n’avaient pas contacté les services spécifiquement en charge de ces questions. La CNIL a estimé que cette circonstance n’exonérait pas la société de sa responsabilité, dès lors qu’elle avait pour obligation de répondre à toutes les requêtes qui lui sont envoyées, même par un autre canal que celui prévu à cet effet.

En l’occurrence, l’objet de ces demandes était clair. Il revenait donc à TOTAL ÉNERGIES de veiller en interne à ce qu’elles soient transférées au personnel compétent.

TOTAL ÉNERGIES a aussi pu juger à tort qu’il n’était pas utile de dépenser de l’énergie pour prévenir certains demandeurs de la régularisation de leur situation. Ces derniers sont alors restés illégitimement dans le noir en ce qui concerne les suites apportées à leurs sollicitations…

Pas besoin d’être une lumière pour comprendre l’importance de rédiger des procédures pour gérer efficacement le traitement des demandes d’exercice de droits des personnes concernées.

Des protocoles de vérification de la recevabilité de ces requêtes à la rédaction de réponses types, en passant par une analyse approfondie de l’applicabilité de ces droits à vos opérations de traitement, RGPD-Experts met à votre disposition son expertise pour vous éviter d’être confrontés à des situations électriques…

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] L’intégralité de la délibération de la CNIL est disponible à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045975295?init=true&page=1&query=San-2022-011&searchField=ALL&tab_selection=all

[3] Pour davantage d’informations concernant la gestion des données personnelles lors de vos campagnes de prospection, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[4] Cette règle vaut aussi en cas d’inaction du responsable de traitement, l’organisme devant alors justifier des raisons de son refus ainsi que de la possibilité pour le demandeur de saisir une autorité de contrôle de sa réclamation et de contester cette décision en justice.

L.H

17 juillet 2022

EHDS

Actualités, Thématiques

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

L’envolée des législations européennes relatives à la « protection » des données personnelles se poursuit.

Dans le prolongement des accords provisoires pour l’encadrement des services et des marchés numériques, la Commission Européenne a publié le 03 mai 2022 sa proposition de règlement pour un Espace Européen des Données de Santé, plus connu sous le nom de “European Health Data Space” (EHDS).

En quoi consiste ce nouveau projet ? RGPD-Experts vous explique les enjeux de ce texte.

De quoi parlons-nous ?

Soulignant l’importance des services numériques dans la gestion de la pandémie de Covid-19, les États membres de l’Union Européenne (UE) se sont emparés de ce contexte pourtant exceptionnel pour insister sur la nécessité d’harmoniser leurs règles nationales sur l’accès et l’utilisation des données de santé.

L’Espace Européen des Données de Santé vise globalement à instaurer un marché unique de données de santé à l’échelle européenne.

Les finalités affichées de cette réforme sont doubles :

① Faciliter l’utilisation primaire des données de santé des citoyens européens :

La proposition de règlement prévoit que les documents médicaux devront être émis sous une forme standardisée, afin de permettre leur partage dans et entre tous les États membres.

Selon la Commission, l’EHDS constitue en ce sens un avantage à la fois pour les patients et les professionnels de santé, en leur garantissant un accès et une maitrise de ces informations sensibles par-delà les frontières. D’après l’institution, cette interopérabilité sera gage d’une meilleure continuité des soins et d’une prise en charge optimale des malades.

Elle vise notamment à renverser les barrières linguistiques susceptibles d’entraver l’accès aux soins des patients ou la compréhension de leur dossier médical par les professionnels de santé. Chacun d’eux pourra désormais consulter les documents médicaux dans sa langue maternelle.

Exemple : un individu pourra ainsi aisément faire renouveler en Italie son ordonnance de médicaments délivrée en France, et se procurer son traitement en Allemagne.

Les données de santé des citoyens seront consignées au sein d’un programme que les États membres sont tenus d’intégrer d’ici 2025, intitulé « MyHealth@EU ».

Si la France a déjà partiellement déployé cette solution via le service « Sesali.fr »[1], d’autres États sont encore loin de cette révolution digitale. En effet, près d’un tiers des pays de l’UE recourent encore majoritairement à des dossiers médicaux et à des prescriptions papiers[2]…

② Faciliter l’utilisation secondaire des données de santé des citoyens européens :

La proposition de règlement établit également un cadre commun pour l’usage des données de santé à des fins de recherche, d’innovation, de statistiques ou d’élaboration de politiques de santé publique.

L’idée est simple : faire bénéficier les chercheurs, les entreprises du secteur de la santé et les décideurs d’une quantité importante de données pour augmenter la fiabilité de leurs projets respectifs.

L’ensemble de ces informations – censées avoir été préalablement anonymisées – seront rassemblées au sein d’une nouvelle infrastructure transfrontière développée à cet effet par l’Union Européenne, dénommée « HealthData@EU ».

Afin de contrôler l’exploitation de ces données mutualisées, chaque Etat membre devra mettre en place un organisme chargé de délivrer les autorisations d’accès aux entités et particuliers en faisant la demande.

La France s’est montrée particulière proactive face à cette réforme, puisqu’elle a créé une telle instance dès 2019. Ce Groupement d’Intérêt Public, composé de 56 parties prenantes relevant du domaine de la santé[3], porte le nom de « Health Data Hub » ou « Plateforme des données de santé »[4].

Les objectifs de l’Espace Européen des Données de Santé selon la Commission Européenne
Source : https://ec.europa.eu/commission/presscorner/detail/fr/fs_22_2713

Et en réalité ?

Si l’Union Européenne se targue d’instaurer ces nouveaux dispositifs en vue d’améliorer les diagnostics médicaux et les systèmes de santé, les enjeux de ce texte s’avèrent aussi et surtout économiques.

L’Espace Européen des Données de Santé entend inciter à l’innovation, en permettant aux entreprises du secteur de la santé de disposer d’un large échantillon de données de santé. Il a ainsi pour objectif de soutenir la croissance, en leur ouvrant de nouveaux marchés dans d’autres États membres.

La Commission ne cache également pas sa volonté de réduire le coût de ses politiques de santé publique.

Selon elle, l’EHDS devrait faire économiser à l’UE près de 11 milliards d’euros, tant grâce à l’optimisation attendue des activités des prestataires de soins (l’échange de données de santé entre professionnels devant éviter la répétition des examens médicaux et renforcer la fiabilité des diagnostics/traitements) que grâce à la documentation accrue des régulateurs (qui, disposant de données davantage probantes, sont supposés être plus à même d’ajuster leur gestion du système de santé et de stopper les dépenses inutiles).

Cet argument est paradoxal lorsque l’on sait que les États membres ont prévu d’investir 12 milliards d’euros dans la santé numérique… L’UE ne poursuivrait-elle pas des rêves chimériques ?

Des mesures si compréhensibles ?

Des questions perdurent quant aux modalités concrètes de mise en œuvre de l’Espace Européen des Données de Santé.

Les dispositions du règlement proposé par la Commission ne prévoient pas leur articulation avec les règles nationales des États membres en la matière, voire entrent ouvertement en contradiction avec elles.

Nous nous interrogeons sur la combinaison entre l’infrastructure européenne sur le partage de données de santé « MyHealth@EU », et le récent Dossier Médical Partagé instauré par le gouvernement français[5].

Par ailleurs, il n’est dit aucun mot sur les caractéristiques du format européen commun dans lequel devront être édictés les documents de santé afin d’être interopérables.

Enfin, les promesses de sécurité concernant l’exploitation des données de santé des citoyens européens sont particulièrement floues. Les formulations vagues employées par la Commission ne permettent pas de déterminer comment cette protection sera concrètement assurée…

Il est ainsi indiqué que ces données sensibles ne seront accessibles à des fins de recherche et d’innovation que pour des « finalités particulières » et non pour prendre des décisions préjudiciables aux citoyens, sous réserve d’être manipulées dans « des environnements fermés et sécurisés » et à condition que les identités des individus visés ne soient pas révélées.

Ces termes ne sont évidemment pas définis, de sorte qu’il est impossible de savoir comment l’anonymat des personnes concernées sera réalisé, ou à quels critères devront répondre les organismes souhaitant accéder à ces données pour justifier qu’ils disposent d’un environnement suffisamment “fermé et sécurisé“.

En d’autres termes, l’Espace Européen des Données de Santé pourrait compromettre la conformité des différents acteurs de cette santé numérique, qui restent tenus de respecter les exigences leur incombant aux termes du Règlement Général sur la Protection des Données (RGPD) [6].

Les organismes pourront-ils en pratique respecter et le RGPD, et la législation sur l’Espace Européen des Données de Santé ? Seul l’avenir nous le dira…

Avant d’entrer en vigueur, le projet de règlement de la Commission Européenne devra d’abord être examiné par le Conseil et le Parlement Européen.

S’il est adopté, ce texte modifiera légèrement l’organisation des institutions européennes, puisqu’il prévoit une nouvelle gouvernance spécifique à la santé numérique. La création d’un « Comité de l’Espace Européen des Données de Santé » est envisagé. Composé des représentants des nouvelles autorités chargées de délivrer les autorisations d’accès aux bases de données de santé des Etats membres, de la Commission Européenne et d’observateurs divers, ce comité a pour ambition de veiller à une application cohérente des règles en matière de santé numérique sur le territoire de l’UE.

Un rôle non négligeable compte tenu des risques que cette réforme soit comprise différemment par tous, faisant des citoyens européens les grands perdants de ce probable quiproquo…

L.H

[1] Bien que déjà accessible, ce nouveau service de santé proposé par l’Agence du Numérique en Santé (ANS) n’est à ce jour pas encore finalisé. Seuls les citoyens de certains pays membres de l’UE y sont pour l’instant éligibles (Croatie, Malte, Portugal…).

[2] Source : « Questions et réponses – Santé dans l’UE : l’espace européen des données de santé », 03 mai 2022, eu.europa.eu (https://ec.europa.eu/commission/presscorner/detail/fr/qanda_22_2712)

[3] Dont la caisse nationale de l’assurance maladie (CNAM), la fédération française de l’assurance (FFA), l’institut national de la santé et de la recherche médicale (INSERM), l’institut national de la recherche en informatique et en automatique (INRIA), le centre national de la recherche scientifique (CNRS), la fédération hospitalière de France (FHF), l’assistance publique hôpitaux de Paris (AP-HP), etc.

Les modalités de fonctionnement de la plateforme sont régies par les articles L1462-1 et R1462 et suivants du Code de la santé publique.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est l’autorité administrative indépendante française compétente en matière de protection des données personnelles, a toutefois émis de nombreuses réserves concernant les modalités de mise en œuvre de cette « Plateforme des Données de Santé » et sur les risques qu’elle présente en l’état actuel pour les libertés individuelles.

[5] Pour plus d’informations concernant les enjeux de ce « Dossier Médical Partagé » en matière de protection des données personnelles, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/donnees-medicales/

[6] En effet, les mesures prévues au sein de la proposition de règlement de la Commission ne dérogent pas au RGPD.

1 juillet 2022

Des mairies à la traine…

Actualités, News, Thématiques

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

En juin 2021, la CNIL[1] signalait à plusieurs villes leur absence de conformité. Nombre d’entre elles s’étaient en effet abstenues de désigner un Délégué à la Protection des Données, une démarche pourtant obligatoire pour ces communes.

Par indifférence ou négligence, plusieurs mairies n’ont pas jugé bon de donner suite à cet avertissement.

Grand mal leur en a pris puisque l’autorité régulatrice a, près d’un an après, décidé de poursuivre son contrôle. Elle a récemment mis en demeure 22 d’entre elles qui n’ont pas encore accompli cette formalité impérative[2]. Elles disposent d’un délai de 4 mois pour régulariser leur situation, à défaut de quoi la Commission pourrait aggraver ses sanctions.

Êtes-vous vous-même conforme ?

Le Règlement Général sur la Protection des Données (RGPD) impose parfois la désignation d’un Délégué à la Protection des Données (DPO[3]). Cette obligation légale repose sur trois critères, à savoir :

Soit la nature de l’entité mettant en œuvre les activités de traitement de données :

Quelles que soient les missions dont elles sont investies ou leur taille, les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles[4].

Soit la nature des activités de traitement de données de base de l’entité

Les organismes privés (entreprises, associations, etc.) doivent impérativement désigner un Délégué à la Protection des Données lorsque leurs opérations de traitement les conduisent à :

Réaliser un suivi régulier et systématique de personnes à grande échelle[5]
Ou à traiter à grande échelles des données sensibles ou pénale au sens des articles 9 et 10 du RGPD.
Soit l’existence d’une législation européenne ou nationale imposant la désignation d’un DPO dans un contexte donné.

En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.

Nous vous invitons toutefois à vous interroger sur l’opportunité pour votre organisme de recourir aux services d’un DPO, même s’il n’y est pas légalement obligé. En effet, sa présence peut s’avérer être une aide précieuse, notamment si votre activité présente des enjeux importants relatifs à la protection des données personnelles ou si vous avez déjà rencontré des problématiques en la matière.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

Quel intérêt à désigner un Délégué à la Protection des Données ?

Le rôle du DPO vis-à-vis de l’organisme

Les articles 37 à 39 du RGPD définissent et encadrent la fonction de Délégué à la Protection des Données.

① Un DPO, oui mais pour quoi faire ? – Les missions du DPO

Le DPO est au cœur de la démarche de conformité de l’organisme.

Il est tout d’abord tenu d’informer et de conseiller ses membres sur les règles applicables en matière de protection des données. Ce rôle vaut tant à l’égard de la Direction de la structure qu’à l’égard de ses employés/adhérents.

Il est chargé de sensibiliser et de former des membres de l’organisme sur les enjeux liés à la protection des données personnelles. Il a pour ambition de diffuser une « culture RGPD ».

Le DPO pilote le système de gouvernance de l’organisme en termes de protection des données. Afin de mener à bien sa mission d’accompagnement, il doit être associé à toute question à laquelle l’entité serait confrontée sur le sujet.

Il participe à la réalisation des “analyses d’impact relatives à la vie privée“ et en supervise l’exécution[6].

Il lui revient également de contrôler que les obligations légales[7] incombant à l’organisme sont concrètement respectées, notamment au moyen d’audits. S’il détecte des manquements ou insuffisances, il aide à déterminer les actions correctives à mener et en suit l’avancement.

Pour plus de cohérence et de sécurité, nous vous invitons à formaliser les autres tâches que vous entendez confier à votre DPO en dehors de ces obligations légales : rédaction ou mise à jour du registre des activités de traitement, des politiques internes et de la documentation de l’organisme en matière de protection des données ; mise en place d’outils de contrôle de l’utilisation des traitements ; rôle en cas de violation de données, etc.

ATTENTION – Le DPO a uniquement vocation à aider le responsable de traitement ou le sous-traitant à respecter ses obligations légales. Sa désignation ne les décharge pas de leur responsabilité.

Le rôle du DPO vis-à-vis des personnes concernées

Le DPO est l’interlocuteur privilégié des individus dont les données personnelles sont traitées.Il est leur référent naturel pour répondre à leurs questions et pour assurer l’exercice effectif des droits qui leur sont reconnus pour conserver la maîtrise de leurs informations personnelles.

Le rôle du DPO vis-à-vis de l’autorité de contrôle

L’identité et les coordonnées du DPO désigné doivent être transmises en ligne à l’autorité de contrôle compétente, auprès de qui il fait office de point de contact. Il est tenu de coopérer avec elle et de répondre à ses éventuelles demandes.

② Un DPO, oui mais qui ? – Les critères de choix d’un DPO

Ne peut être Délégué à la Protection des Données qui veut !

Ces fonctions requièrent des compétences et un niveau d’expertise certains. Il doit disposer :

De connaissances théoriques indéniables – Et notamment de connaissances juridiques, informatiques et techniques suffisantes en matière de protection des données.

De connaissances pratiques incontestables – Il doit être familier au mode de fonctionnement du secteur d’activité de la structure l’ayant désigné et aux traitements de données qu’elle met en œuvre. Il doit aussi et évidemment être en capacité de suivre un projet.

De qualités personnelles appropriées – Afin que ses recommandations soient entendues et considérées comme légitimes, la personne désignée comme DPO doit aussi faire preuve d’une éthique irréprochable et d’importantes compétences managériales.

Il doit affirmer son indépendance vis-à-vis de la Direction à qui il rend compte, et ne présenter aucun conflit d’intérêts[8]. Il doit être capable tant d’écouter que de convaincre. Le dialogue étant important pour insuffler une dynamique de conformité dans l’organisme, il est essentiel que votre DPO soit un bon communicant.

La formation , les compétence et la pratique du métier ?

La certification permet de rassurer les responsables de traitement. Pour autant, connaitre le texte ne signifie pas pour autant que le DPO dispose des savoir faire nécessaires pour la mise en œuvre, c’est là que toute l’expérience et les années de pratique font la différence . Attention également au titre ronflants sur les CV ou profils Linkedin « DPO Certifié CNIL ». La CNIL ne certifie pas les DPO, pas plus que des produits.

La certification « Délégué à la Protection des Données »

La certification est une procédure attestant des compétences du DPO. Elle consiste en un examen écrit, accessible à toute personne justifiant :

De 2 ans d’expérience dans le domaine de la protection des données
Ou de 2 ans d’expérience professionnelle (quel que soit le domaine) et ayant suivi une formation d’au moins 35 heures relative à la protection des données personnelles.

Cette formation est utile tant pour le DPO pressenti, qui pourra prouver qu’il dispose des connaissances suffisantes, que pour l’organisme, qui pourra invoquer cette certification pour motiver le choix de son DPO.

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

③ Un DPO, oui mais comment ? – Les différents modes d’exercice du DPO

Le Délégué à la Protection des Données peut-être :

Interne à l’organisme – Le DPO peut être un membre de la structure, exerçant cette fonction à temps plein ou à temps partiel.
Externe à l’organisme – L’organisme peut également recourir aux services d’une personne extérieure, avec laquelle il décide de contractualiser l’exercice de cette fonction.

Mutualisé – C’est-à-dire désigné pour plusieurs entités (filiales d’une même société par exemple).

	AVANTAGES PRINCIPAUX	AVANTAGES PRINCIPAUX
DPO Interne	– Connaissance approfondie du fonctionnement interne de l’entité et des contraintes auxquelles elle fait face en matière de protection des données. – Assure en principe une meilleure disponibilité et réactivité du DPO	– Risques accrus de conflits d’intérêt et de manque d’indépendance vis-à-vis de sa hiérarchie. – Potentiel manque d’objectivité et de recul sur les pratiques internes de l’organisme.
DPO Externe	– Possible solution pour pallier le manque d’effectifs ou un manque d’intérêt pour le sujet dans l’organisme. – Bénéfice de l’expérience et des éventuels outils développés par le DPO pour faciliter les démarches de conformité.	– Potentiellement moins accessible pour les personnes concernées et les membres de l’organisme qu’un DPO interne. – Impose à l’entité d’échanger régulièrement avec lui, au risque qu’il ne puisse pas exercer ses fonctions de façon optimale et en adéquation avec l’activité de la structure. – Nécessite généralement un référent interne afin de faciliter les échanges.
DPO Mutualisé	– Permet de lisser les coûts liés à la désignation d’un DPO. – Permet d’uniformiser la « logique RGPD » développée par les différents organismes.	– Ne peut être mise en place qu’à condition que le DPO soit facilement joignable et disponible pour chaque établissement, quel que soit sa localisation. – Risques de manque de temps et de moyens face à l’ampleur de ses missions.

Dans tous les cas, l’organisme doit fournir au DPO les moyens humains (une équipe, une formation professionnelle continue), matériels (du temps, un accès aux informations dont il a besoin, des moyens de communication suffisants) et financiers nécessaires pour lui permettre de mener à bien ses missions.

Une fois désigné, il appartient à l’organisme de faire connaître la personne qu’il a choisie en qualité de Délégué à la Protection des Données afin de démocratiser son rôle et ses actions au sein de la structure.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La décision de la CNIL est disponible dans son intégralité à l’adresse suivante : Délibération MEDP-2022-001 du 5 mai 2022 – Légifrance (legifrance.gouv.fr)

[3] Acronyme généralement retenu, de l’anglais « Data Protection Officer »

[4] D’où les procédures engagées contre les 22 communes précitées qui, en tant que collectivités locales, doivent désigner un DPO.

[5] La notion de « grande échelle » s’apprécie au cas par cas. Elle ne suppose pas uniquement un nombre important de personnes concernées en valeur absolue, mais exige aussi de prendre en compte d’autres facteurs (le nombre d’individus touchés par rapport à une population donnée, le volume de données et de catégories de données traitées, la durée ou la permanence des activités de traitement, l’étendue géographique de ces opérations, etc.).

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

[7] Ces obligations légales s’entendent naturellement de celles résultant du RGPD et de la loi du 06 janvier 1978 dite « Informatique et Libertés » dans sa version modifiée, mais aussi de toute autre disposition ayant des répercussions sur les exigences pesant sur l’organisme en matière de protection des données (règles issues du Code de santé publique, du Code de la consommation, etc.)

[8] Cela implique notamment que la personne désignée comme DPO ne participe pas aux décisions sur la détermination des finalités et des moyens des traitements de données. Elle ne peut par exemple pas cumuler cette fonction avec celle de Directeur Général, de responsable marketing/commercial, de responsable des ressources humaines, ou encore de responsable de la sécurité informatique.

23 juin 2022

site internet et conformité

Actualités, Thématiques

– Conformité de votre site Internet : quels sont les points de vigilance ? –

Entre les informations collectées à travers des cookies et les renseignements recueillis auprès des internautes par un formulaire de contact, via leur compte individuel ou encore leur inscription à des newsletters, la gestion d’un site Internet entraine le traitement de nombreuses données personnelles.

Les organismes et les particuliers mettant en œuvre ces interfaces sont dès lors soumis aux exigences du Règlement Général sur la Protection des Données (RGPD).

RGPD-Experts vous livre ses conseils pour mener à bien vos projets en ligne !

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Conformément au principe de minimisation des données, vous n’êtes tenu de recueillir que les données pertinentes strictement nécessaires pour atteindre l’objectif poursuivi par leur collecte.

Concrètement, vous ne pouvez pas demander à vos interlocuteurs des renseignements personnels dont vous n’avez pas besoin dans l’immédiat.

Exemple : il n’est pas indispensable de connaître l’identité et les coordonnées complètes de l’internaute souhaitant s’abonner à votre newsletter. Seule son adresse e-mail est requise pour lui fournir ce service. En revanche, vous aurez besoin de ces éléments s’il commande un produit sur votre site Internet, afin de lui livrer le bien.

Nous vous conseillons de distinguer les informations obligatoires de celles facultatives, au moyen d’un astérisque par exemple. Cette solution laisse le choix à l’utilisateur de vous fournir ou non davantage d’informations le concernant.

Nous vous recommandons également de limiter au maximum les zones de libres commentaires, c’est-à-dire les champs vides dans lesquels l’internaute peut consigner librement ce qu’il souhaite.

Non seulement ce dernier pourrait vous fournir plus de données que ce dont vous auriez besoin, mais il pourrait également vous communiquer spontanément des informations sensibles à son sujet. Or, le traitement de données sensibles est strictement encadré par le RGPD. Epargnez-vous ces complications tant que vous le pouvez !

Dotez-vous d’une politique de protection des données accessible et compréhensible

Pourquoi ? – Le RGPD impose d’informer les personnes concernées des principales caractéristiques du traitement fait de leurs données personnelles lors de leur utilisation de votre site Internet, ainsi que de leurs droits pour en conserver la maîtrise.

Afin de répondre à cette obligation légale, il est essentiel de définir une politique de protection des données.

Quoi ? – Ce document, distinct des conditions générales de vente (CGV) ou des conditions d’utilisation du site (CGU), doit faire état de diverses mentions obligatoires expressément prévues par le RGPD.

Il doit a minima comporter les indications suivantes :

L’identité et les coordonnées du responsable du traitement de données ;
L’identité et les coordonnées du Délégué à la protection des données, s’il l’en a été désigné un – ou de la personne référente en matière de protection des données personnelles ;
Les finalités de chaque traitement de données lié à l’usage du site (le but de la collecte des données);
La base légale de chaque traitement de données (le fondement juridique vous donnant droit de traiter les données);
Le caractère obligatoire ou facultatif du recueil des données ;
Les destinataires ou catégories de destinataires des données (ceux qui pourront être amenés à y accéder ou à les recevoir, y compris les sous-traitants) ;
La durée de conservation des données, ou les critères permettant de déterminer cette durée ;
Les droits des personnes concernées (leurs droits d’accès, de rectification, d’effacement, à la limitation du traitement, ainsi que leurs droits d’opposition et à la portabilité des données s’ils sont applicables);
Le droit d’introduire une réclamation auprès de la CNIL[1].

Selon les opérations de traitement que vous mettez en œuvre, d’autres renseignements devront aussi éventuellement figurer, et notamment :

La nature des intérêts légitimes que vous poursuivez ou le droit pour l’utilisateur de refuser de donner son consentement ou de le retirer à tout moment, si telles sont les bases légales de votre traitement de données ;
L’existence d’un transfert des données en dehors de l’Union européenne et les garanties associées pour assurer un niveau de protection suffisant des données transmises à l’étranger ;
L’existence d’une prise de décision automatisée ou d’un profilage ainsi que ses conséquences pour la personne concernée et la logique sous-jacente de l’algorithme utilisé ;

ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].

Afin de répondre à ces exigences, il est donc impératif que votre politique de protection des données soit adaptée à votre propre situation et aux opérations de traitement que vous mettez en œuvre.

La CNIL exige que celle-ci reflète la réalité de vos activités, et ne soit pas rédigée de manière abstraite. Les phrases génériques de type « notre organisme est susceptible d’utiliser des données vous concernant pour mener à bien ses missions » sont à bannir.

Comment ? – Selon l’article 12 du Règlement européen, cette information doit être « concise, transparente, compréhensible et aisément accessible ».

Cela implique notamment qu’elle soit formulée en des termes simples, adaptés au public visé.

Pour rappel, l’Autorité de Contrôle néerlandaise avait condamné en 2021 la société « TikTok » au paiement d’une amende de 750.000 euros pour ne pas avoir mis à disposition des adolescents inscrits sur l’application une information adaptée à leur âge et dans leur langue maternelle.

Les personnes concernées doivent aussi pouvoir consulter facilement votre politique de protection des données. A ce sujet, la CNIL préconise de recourir à une notice d’information accessible :

En plusieurs niveaux : c’est-à-dire de fournir rapidement les informations globales sur le traitement de données avant de renvoyer vers une description plus précise de ses conditions de mise en œuvre.
Sur différents canaux : liens, menus dépliants, « pop-up », icônes et vidéos d’explications, etc.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] En cas de collecte indirecte de données, votre politique de confidentialité devra également faire apparaître les catégories de données obtenues ainsi que leur source.

De même, si l’ensemble de ces informations doit être délivré aux personnes concernées au moment du recueil de leurs données en cas de collecte directe, elles doivent en principe leur être fournies « dès que possible » en cas de collecte indirecte – c’est-à-dire au 1^er contact avec la personne concernée ou au plus tard dans un délai d’un mois.

Contrôlez le recueil du consentement des personnes concernées

Si certains traitements de données ont pour base légale le consentement, il vous appartient :

► D’organiser le recueil du consentement des personnes concernées [3]

Ce fondement juridique suppose que leur autorisation à la collecte et l’exploitation de leurs données personnelles résulte d’une déclaration ou d’un acte positif clairs.

Exemples :

▪ Sont considérées comme satisfaisantes les pratiques suivantes : le fait de cocher une case lors de la consultation d’un site, d’opter pour certains paramètres techniques d’application, de remplir un formulaire d’autorisation…

▪ Sont exclues les modalités de recueil du consentement suivantes : les cases pré-cochées par défaut, les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts), les consentements tirés de l’inaction de l’individu (l’absence de réponse à un courriel sollicitant le consentement)…

Afin d’être valable, le consentement doit répondre à quatre conditions cumulatives essentielles. Il doit être :

● Libre – La personne concernée ne doit pas avoir été contrainte ni influencée de donner son consentement. Elle doit pouvoir refuser le traitement de ses données personnelles sans avoir à subir de répercussions négatives de ce refus.

● Spécifique – Lorsque le traitement poursuit divers objectifs, un consentement distinct doit pouvoir être donné pour chacun de ces buts spécifiques.

● Éclairé – La personne concernée doit avoir parfaitement conscience de la portée de son accord.

● Univoque – Le consentement doit être exprimé sans ambiguïté.

Il vous appartient de justifier auprès des autorités de contrôle que vous avez bien obtenu le consentement licite des internautes dont vous manipulez les données.

Il est donc absolument indispensable que vous vous dotiez de moyens techniques permettant d’attribuer le consentement donné à son véritable auteur, ainsi que de dater précisément le moment du recueil voire du retrait du consentement – en prévention d’éventuelles contestations à ce sujet.

► D’organiser la modification et l’éventuel retrait de leur consentement

Vous êtes tenu de prendre toutes les mesures nécessaires pour permettre aux personnes concernées de retirer simplement et à tout moment le consentement initialement donné [4].

Exemple : Paramétrages d’application, lien de désabonnement au sein des newsletters ou mails publicitaires…

Vous devrez évidemment tirer toutes les conséquences de ce retrait, à savoir notamment :

· Cesser immédiatement le traitement des données personnelles de l’auteur de cette rétractation ;

· Effacer les données traitées, sur demande de la personne concernée et si aucune autre finalité ne justifie leur conservation (article 17(1)(b) RGPD).

► De documenter votre gestion efficace des consentements, conformément au principe “d’accountability”[5]

[3] ATTENTION – Le recueil du consentement des mineurs est soumis à des règles particulières, non détaillées au sein de cet article.

[4] Étant observé que cette rétractation n’aura pas pour effet de compromettre la licéité des traitements fondés sur le consentement mis en œuvre avant ce retrait.

[5] Le principe « d’accountability » est un principe de responsabilité sous-tendant que vous vous conformiez aux exigences en matière de protection des données d’une part, et que vous soyez en capacité de démontrer cette conformité en toutes occasions d’autre part.

Veillez à la bonne gestion de vos cookies et autres traceurs

Les cookies sont des fichiers informatiques émis par une page Internet, et transmis jusqu’au téléphone ou l’ordinateur de l’utilisateur. Ils sont ensuite stockés sur les serveurs de cet équipement terminal, et y collectent de nombreuses données personnelles.

Certains cookies techniques sont dits « obligatoires », en ce qu’ils sont indispensables au bon fonctionnement et à la sécurité du site Web.

D’autres, « non nécessaires », permettent d’optimiser les fonctionnalités du site et d’en adapter le contenu pour améliorer l’expérience de chaque usager (ciblage publicitaire, études statistiques sur les habitudes d’utilisation des internautes…) [6].

Dans le cadre de votre conformité, nous vous recommandons à ce sujet :

D’informer les personnes concernées des principales caractéristiques des traitements de données issues de ces traceurs.

Nous vous invitons à rédiger une politique de confidentialité spécifique à votre gestion des cookies, distincte de votre politique générale de protection des données.

De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

La CNIL a en effet récemment conclu que le recours à Google Analytics par le gestionnaire d’une page Web constitue une violation des dispositions du RGPD sur les transferts de données en dehors de l’Union Européenne [7].

De recueillir le consentement des personnes concernées, lorsque cela s’impose.

En l’occurrence, si les cookies « nécessaires » peuvent être activés en permanence, les autres traceurs ne peuvent être déposés sur le terminal de l’internaute qu’avec son consentement.

De prendre garde aux dispositifs de mesures d’audience et de fréquentation

Appréhendez correctement votre prospection commerciale

Selon la nature de votre client potentiel et le moyen de communication employé pour le contacter, la base légale du consentement peut vous être imposée pour ce traitement de données … avec toutes les conséquences que cela génère pour votre conformité [8] !

ATTENTION – En réaction aux réclamations relatives aux publicités non sollicitées subies quotidiennement par de nombreux particuliers, la CNIL a érigé la prospection commerciale comme l’un de ses thèmes prioritaires de contrôle pour l’année 2022. Ces pratiques feront l’objet d’une surveillance accrue.

Assurez-vous de respecter les règles propres au paiement en ligne

Si votre site Internet permet à vos clients de commander des biens ou des services en ligne, il vous appartient de prendre toutes les précautions nécessaires pour leur offrir un moyen de paiement dématérialisé conforme aux exigences du RGPD.

En cas de paiement ponctuel [9], nous vous invitons notamment à vérifier :

Que seules les données strictement autorisées sont collectées, à savoir le numéro, la date d’expiration et le cryptogramme visuel de la carte bancaire ;
Que, sauf consentement du client, ces données ne sont pas conservées une fois la transaction finalisée ;
Que des mesures de sécurité supplémentaires ont été instaurées pour éviter la compromission de ces données personnelles (mécanisme d’authentification renforcé, camouflage de tout ou partie de numéro de la carte lors de son affichage, etc.).

RGPD-Experts met à votre disposition ses outils et les compétences de professionnels reconnus pour vous permettre de rédiger en toute simplicité les mentions légales de votre site, de formuler votre politique de protection des données ou simplement de vous guider dans la conformité de votre page Web.Nous vous invitons à vous rapprocher de nos services pour bénéficier d’un accompagnement fiable et complet dans la mise en œuvre de vos projets en ligne..

[6] Pour plus d’informations, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[7] Source : https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

[8] Ce en application de l’article L.34-5 du Code des postes et des communications électroniques. Si cette problématique vous intéresse, vous pouvez en apprendre davantage à travers notre publication : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[9] Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.Des règles particulières sont applicables en cas de souscription à des abonnements « premium » ou à des contrats reflétant l’intention du client de s’inscrire dans une relation commerciale régulière.

L.H

10 juin 2022

Les dessous d’un acronyme bien trop méconnu

Actualités, News, Thématiques

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

Tenir à jour un registre de ses activités de traitement, respecter les droits des personnes concernées ou encadrer ses relations de sous-traitance : à coups d’articles de sensibilisation, ces grands principes édictés par le Règlement Général sur la Protection des Données (RGPD) commencent à être pleinement intégrés par les organismes traitant des données personnelles.

D’autres impératifs issus de ce texte n’ont malheureusement pas bénéficié de la même publicité.

Tel est notamment le cas de l’Analyse d’Impact relative à la Protection des Données ou « AIPD ». Grande oubliée des campagnes de communication, cette notion n’en demeure pas moins une obligation légale pour les responsables de traitement, et mérite à ce titre d’être elle aussi mise en lumière.

Qu’est-ce que cette mesure préventive ?

L’AIPD [1] est un processus consistant à décrire le traitement de données envisagé, avant son instauration, pour évaluer ses risques pour les personnes concernées et réfléchir sur ses conditions de mise en œuvre.

L’analyse d’impact est donc un outil précieux de responsabilisation. Elle aide le responsable de traitement à identifier en amont les possibles lacunes des opérations de traitement projetées, et lui permet ainsi d’adopter les mesures rectificatives requises pour agir en toute conformité.

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Tout traitement de données personnelles ne doit pas faire l’objet d’une AIPD. En application de l’article 35 du RGPD, seuls sont concernés ceux susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Toute la question est donc de savoir ce que recouvre cette expression de « risque élevé pour les droits et libertés » ?

Ce risque s’entend généralement d’un événement redouté qui, s’il survenait, aurait des conséquences particulièrement néfastes pour les individus dont les données personnelles sont exploitées. Le type de dommage pouvant être subi par les éventuelles victimes est indifférent pour caractériser ce danger [2]

La nature du dommage craint est elle aussi indifférente. Il peut s’agir d’un préjudice d’ordre moral, physique, financier ou matériel.

L’équation est la suivante :

Niveau de risque = vraisemblance du risque X gravité du risque

Autrement dit, il est possible de baisser le niveau de risque en diminuant soit la probabilité qu’il advienne, soit l’ampleur des préjudices encourus par les personnes concernées s’il devait se manifester.

Mais encore ?…

Pas toujours évidemment de savoir si un traitement de données répond à cette définition. Afin de conclure s’il y a lieu ou non de mener une AIPD, nous vous conseillons de suivre le raisonnement suivant :

ÉTAPE 1 :

Vérifier si votre traitement figure expressément parmi ceux pour lesquels la CNIL [3] estime qu’une AIPD est requise ou, au contraire, exclue. Afin d’accompagner les professionnels dans leurs démarches, l’autorité de contrôle a en effet publié :

Une liste non exhaustive d’activités pour lesquelles elle jauge qu’une AIPD est nécessairement requise.

La liste complète de ces activités est disponible à l’adresse suivante :

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

Dans ce cas, nous vous recommandons de vous conformer à la doctrine de l’autorité régulatrice et de réaliser une analyse d’impact.

Une liste non exhaustive d’activités qu’elle considère comme étant exemptées d’AIPD.

L’énumération complète de ces activités est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf

Dans ce cas, il existera une forte présomption que vous n’ayez pas à mener une telle AIPD.

Toutefois, la présence de votre opération projetée sur cette liste ne doit pas vous empêcher de vous poser les questions prévues à l’étape 2.

Par exception, aucune analyse de risque n’est exigée lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

1° Ce traitement soit prévu par la législation européenne ou nationale ;

2° Que les textes constituant sa base juridique réglementent l’opération de traitement en question ;

3° Qu’une AIPD ait déjà été menée lors de l’adoption de ce fondement juridique.

ÉTAPE 2 : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

Ce processus a vocation à déterminer si le traitement est de nature à porter atteinte aux droits et libertés des personnes, en particulier « par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement » (art. 35 RGPD).

Selon les lignes directrices du Comité Européen de la Protection des Données[4], une AIPD doit être effectuée si le traitement remplit au moins deux des neufs critères suivants, à savoir qu’il implique :

Une évaluation ou notation, y compris les activités de profilage et de prédiction ;

(Exemple : les traitements analysant les préférences des consommateurs sur un site en ligne afin de cibler leurs publicités selon leur profil marketing)

Une prise de décision automatisée avec effet juridique ou effet similaire significatif ;

(Exemple : les traitements utilisés pour définir les conditions d’une police d’assurance, plus ou moins avantageuses en fonction des risques relevés dans la situation du souscripteur)

Une surveillance systématique ;

(Exemple : les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées ou une zone géographique donnée, tels que les réseaux de vidéosurveillance ou de vidéoprotection)

Une collecte de données sensibles ou données à caractère hautement personnel ;

(Exemple : données pénales, à caractère sexuel, données de santé / biométriques / génétiques, données syndicales ou politiques, données de religion, sur les origines, etc.)

Une collecte de données personnelles à large échelle ;

Le CEPD précise que cette notion s’apprécie non seulement au regard du nombre de personnes concernées, mais également du volume de données traitées, de l’étendue géographie et temporelle de l’activité de traitement, du caractère proportionné de l’échantillon d’individus ciblés, etc.

Un croisement de données ;

Tel est le cas si le traitement de données met en relation plusieurs informations personnelles collectées auprès d’un individu dans des contextes différents.

Des données personnelles d’individus vulnérables ;

( Exemple : personnes âgées, malades ou handicapées, mineurs, demandeurs d’asile, mais aussi les salariés dans leurs rapports avec leur employeur, compte tenu du déséquilibre des pouvoirs existant entre eux.)

Un usage innovant des données ou l’utilisation de nouvelles solutions technologiques ;

(Exemple : systèmes de reconnaissance faciale ou d’empreintes digitales, d’intelligence artificielle.)

L’exclusion du bénéfice d’un droit/contrat.

(Exemple : les traitements utilisés dans le cadre de l’attribution ou du refus d’octroi de crédit bancaire)

Selon le CEPD, cette règle n’a pas vocation à être interprétée strictement.

Vous pouvez ainsi décider de conduire une AIPD alors même qu’un seul des neufs critères serait rempli, si vous estimez que le traitement présente malgré tout un risque élevé pour les droits et libertés des personnes concernées. A l’inverse, vous pouvez également considérer que, bien que votre traitement satisfait au moins deux de ces critères, une AIPD ne serait pas requise.

ATTENTION – Le fait de réaliser une analyse de risque ainsi que la décision finale de mener ou non une AIPD à l’issue de cette analyse de risque sont laissés à la libre appréciation du responsable de traitement.

Charge à lui de justifier, en cas de contrôle, les arguments juridiques et de fait pris ayant conduit à sa décision.

Alors comment mener une AIPD si celle-ci s’impose ?

Les acteurs de l’AIPD

L’obligation de mener une AIPD incombe au seul responsable de traitement.

Toutefois, les textes précisent que celui-ci doit, à cette occasion, se faire entourer :

Du Délégué à la Protection des Données de l’organisme, s’il en a été désigné un. Ce dernier est investi d’une mission de conseil et sera tenu de superviser le déroulement de l’analyse.

De ses sous-traitants, qui ont le devoir de l’assister durant ce processus et de coopérer avec lui.

Il peut aussi, s’il le souhaite, demander leurs avis directement aux personnes concernées.

Nous vous recommandons également de consulter les membres impliqués de votre personnel, afin d’obtenir un retour terrain des modalités de mise en œuvre du traitement analysé (le fournisseur du produit ou logiciel utilisé, les collaborateurs appelés à manipuler les données, le responsable de la sécurité des systèmes d’information, les opérateurs techniques et de maintenance, etc.)

Le contenu de l’AIPD

L’AIPD doit impérativement faire figurer les mentions obligatoires suivantes (art. 35 RGPD) [5] :

Une description des principales caractéristiques du traitement envisagé: nature des opérations projetées, finalités du traitement, volume et catégories de données devant être traitées, volume et catégories des personnes ciblées, ainsi que toute information relative aux aspects techniques et opérationnels de mise en œuvre du traitement (matériel utilisé, cartographie des flux de données, mesures de protection instaurées, etc.),
Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à l’objectif poursuivi,
Une évaluation des risques pour les droits et libertés des personnes concernées: quelle est la probabilité que survienne une atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles traitées ? Quelles seraient les répercussions d’un tel incident pour les potentielles victimes ?
Les mesures envisagées pour faire face aux risques identifiés, et les garanties adoptées par le responsable de traitement pour assurer la sécurité des données manipulées et sa conformité.

L’AIPD est un processus itératif. Il conviendra de réévaluer le risque tout au long de la vie du traitement.

Les éléments relatifs aux AIPD menées par votre organisme figurent parmi la documentation justifiant de votre conformité. Il convient donc de conserver précieusement toutes les pièces dont vous disposez à ce sujet, à titre de preuve.

La possible consultation de l’autorité de contrôle

Le responsable de traitement doit consulter la CNIL lorsque les résultats de l’AIPD mettent en évidence que le niveau de risque pour les personnes concernées demeure élevé malgré les mesures préventives prises pour l’atténuer.

Or, dans ce contexte, la CNIL peut faire usage de ses pouvoirs de contrôle et de répression si elle estime que la mise en œuvre de ce traitement constituerait une violation du RGPD. Le choix de communiquer ou non son AIPD à l’autorité régulatrice pour avis n’est donc pas une question à prendre à la légère…

* * *

Trop souvent incomprise, cette obligation légale de mener une AIPD constitue pourtant un enjeu de taille pour les responsables de traitement.

Outre d’éventuelles sanctions pénales ou judiciaires, tout manquement aux règles relatives aux analyses d’impact est passible d’une amende administrative dont le montant peut s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant retenu (art. 83 du RGPD).

RGPD-Experts a mis en place une méthodologie fiable et efficace pour mener à bien ce processus fastidieux au sein de votre organisme. Notre modèle prend en considération les particularités de votre structure, afin d’aboutir à une analyse fiable et adaptée à votre propre situation.

Nous vous invitons à contacter nos services si vous souhaitez être accompagnés dans la conduite de vos AIPD, et ainsi éviter de devoir consulter la CNIL avant de mettre en œuvre vos traitements de données.

L.H

[1] Aussi appelée « Analyse d’impact sur la vie privée » ou « DPIA », de l’anglais « Data Privacy Impact Assessment ».

[2] Peu importe qu’il soit à craindre une violation de leur droit au respect de leur vie privée, à la protection de leurs données personnelles, ou de tout autre droit fondamental (interdiction des discriminations, libertés de conscience et d’expression, liberté syndicale…).

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] A cet égard, nous vous invitons à lire l’annexe 2 des lignes directrices du Comité Européen de la Protection des Données précitées.

25 mai 2022

Comment les autorités de contrôle devraient-elles déterminer le montant de leurs amendes ?

Identifier les comportements susceptibles d’être sanctionnés par une amende

Effectuer une première appréciation du montant de l’amende, selon les critères listés à l’article 83 du RGPD

La nature de l’infraction

La gravité de l’infraction

Adapter le montant obtenu en fonction d’éventuelles circonstances aggravantes ou atténuantes

La manière dont la violation a été portée à la connaissance de l’autorité de contrôle ;

L’adhésion à un code de conduite ou à un mécanisme de certification.

Déterminer les plafonds légaux des amendes encourues

Ajuster le montant final obtenu afin qu’il réponde aux exigences d’efficacité, de dissuasion et de proportionnalité

***

Votre registre des activités de traitement : tout un chantier ?

RGPD-Experts vous empêche de foncer droit dans le mur !

ZOOM SUR LE PRINCIPE D’ « ACCOUNTABILITY »

* * *

La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.

Détermination des durées de conservation

A) La conservation en base active

B) L’archivage intermédiaire

D) L’archivage définitif

« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »

Application de la durée de conservation

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

Le feu vert du Comité Européen de la Protection des Données (CEPD)

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

① Les économies réalisées grâce à votre conformité

② Les pertes évitées grâce à votre conformité

***

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

① Violation des règles relatives à la prospection

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

– Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

– Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

– Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

② Violation des règles relatives au respect des droits des personnes concernées

– Espace Européen des Données de Santé –

Tout savoir sur la nouvelle politique de santé numérique de l’Union

Alerte rouge pour 22 communes françaises

Mises en demeure pour absence de désignation d’un Délégué à la Protection des Données

Zoom sur ces villes insuffisamment accompagnées dans leur conformité…

Êtes-vous vous-même conforme ?

En dehors de ces hypothèses, la désignation d’un Délégué à la Protection des Données est en principe facultative.

Alors, êtes-vous obligé de désigner un Délégué à la Protection des Données ?

① Un DPO, oui mais pour quoi faire ? – Les missions du DPO

L’équipe de RGPD-Experts, elle-même DPO externe et qualifiée par Bureau Veritas, anime régulièrement des sessions de formation éligibles OPCO / FNE et Pôle Emploi pour vous aider à appréhender les enjeux de cette certification.

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme. L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.

– Conformité de votre site Internet : quels sont les points de vigilance ? –

ATTENTION – Seules sont ici évoquées les règles résultant du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée.

D’autres réglementations peuvent également avoir vocation à s’appliquer selon votre situation, notamment celles issues du Code de la consommation ou de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

Limitez au maximum les données collectées, principe de minimisation

Dotez-vous d’une politique de protection des données accessible et compréhensible

ATTENTION – Ces informations et le moment de leur délivrance diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées[2].

Contrôlez le recueil du consentement des personnes concernées

Veillez à la bonne gestion de vos cookies et autres traceurs

L’Analyse d’Impact relative à la Protection des Données ou « AIPD »

Qu’est-ce que cette mesure préventive ?

Dans quels cas faut-il conduire une Analyse d’Impact relative à la Protection des Données ?

Niveau de risque = vraisemblance du risque X gravité du risque

Mais encore ?…

ÉTAPE 1 :

ÉTAPE 2 : Si votre traitement ne figure sur aucune de ces deux listes ou en cas d’hésitation, il vous est vivement recommandé de mener une analyse de risques.

Alors comment mener une AIPD si celle-ci s’impose ?

Des Experts à votre service

RGPD Experts

Contacts et Liens Utiles

Comment les autorités de contrôle devraient-elles
déterminer le montant de leurs amendes ?

ATTENTION : Le seul fait de désigner un Délégué à la Protection des Données ne suffit pas à être conforme.
L’organisme doit pour cela justifier qu’il respecte l’ensemble des exigences prévues par le RGPD.