rgpd

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.

Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Par internet-et-droit • Tags: , , ,

Protection de la vie privée

La protection de la vie privée est un principe essentiel aujourd’hui. Cependant, l’arrivée d’internet a complètement modifié les mœurs, c’est pourquoi il est nécessaire de s’arrêter sur la protection de la vie privée dans le cadre d’internet.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

La protection de la vie privée est un principe essentiel aujourd’hui. A l’ère du numérique la vie privée peut être menacée par une variété de facteurs, tels que les réseaux sociaux, les caméras de surveillance, les drones, les employeurs, les gouvernements et les pirates informatiques. Les préoccupations liées à la vie privée ont été amplifiées avec l’augmentation de la quantité de données personnelles autorisées en ligne et la facilité avec laquelle ces données peuvent être pondérées, analysées et partagées.

Il existe plusieurs lois et normes qui sont destinées à protéger la vie privée des individus. Il est possible de citer le Règlement européen sur la protection des données (RGPD) entrée en vigueur le 25 mai 2018 qui a permis d’instaurer un cadre européen harmonisé qui contribue au respect de la vie privée des utilisateurs en ligne.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Est-il légal d’adresser un e mail (ou un SMS) à un prospect qui n’a a priori pas fait de démarches pour recevoir ces messages ?

En France, les responsables de traitement, c’est-à-dire tous les organismes ou entreprises qui traitent des données à caractère personnel (RGPD) sont soumises au respect des dispositions du Règlement européen à la protection des données.

Le RGPD requiert que tout traitement de données à caractère personnel respecte un socle de principes fixés en son article 5 et soit fondé sur une des bases légales prévues à l’article 6 pour être licites.

La prospection commerciale par courriel est possible, mais la personne concernée doit d’abord en être informée. En effet, le consentement de la personne est systématiquement requis préalablement s’il s’agit de particuliers ou pouvoir s’y opposer s’il s’agit de professionnels (L34-5 du code des postes et télécommunications). Si le consentement n’a pas été requis, la prospection électronique sera considérée comme du spam.

Le consentement requiert pour être valable de respecter les dispositions de l’article 7 du RGPD. D’une part il doit être libre, éclairé et univoque. D’autre part, il requiert, pour être valable, une action positive et spécifique de la personne concernée. La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher.

Pour rappel, l’utilisation d’une case précochée est interdite en matière de recueil du consentement. Il est donc recommandé d’utiliser une case décochée par défaut pour permettre aux personnes de s’opposer.

Par ailleurs chaque message électronique devra comprendre des mentions obligatoires. D’une part il conviendra de préciser l’identité de l’annonceur et d’autre part, d’intégrer un moyen de s’opposer à la réception de nouvelles sollicitations en vertu du droit de retrait.

Un fichier de prospects dit « qualifié » peut-il être revendu à un tiers ? (par exemple, une société vient de racheter une start up qui vient de déposer le bilan afin d’utiliser son fichier, est ce légal ?)

Un fichier de prospects dit « qualifié » est une liste de contacts potentiels pour une entreprise qui ont été évalués et classés en fonction de leur intérêt et de leur capacité à acheter les produits ou services de l’entreprise. L’avantage d’un fichier de prospects qualifiés est qu’il permet de se concentrer sur les contacts les plus pertinents et les plus susceptibles de générer des ventes.

La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises. La CNIL rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales notamment s’agissant des droits des personnes.

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte certaines règles. Pour se faire, plusieurs conditions sont requises.

Pour commencer, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale, autrement dit, à partir de la dernière action du client.

Les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.

Comme le rappelle la CNIL, les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

Le nouveau responsable de traitement devra par conséquent assurer le respect de l’ensemble des obligations posées par le RGPD. Il s’agira par exemple de s’assurer du respect des durées de conservation des données, d’assurer la sécurité des données ou encore de garantir le respect des demandes d’exercice de droit de la personne concernée.

Par ailleurs, elle indique que la partie qui acquiert les données devra informer les personnes, dès que possible. Elle recommande de le faire dès le premier contact avec la personne concernée et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires.

 

Ou en est le droit français à l’heure actuelle sur la protection des données ? (et notamment sur la revente des fichiers)

En France, la loi « Informatique et Libertés », adoptée en 1978 et modifiée à plusieurs reprises au cours des vingt dernières années, a longtemps été considérée comme le texte fondamental régissant le droit des données personnelles. Elle a notamment institué la Commission nationale de l’informatique et des libertés (CNIL) chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Les dispositions de la LIL ont été renforcées en 2004 suite à la transposition de la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne sont soumises à la réglementation indépendamment de leur localisation. Le choix d’un règlement se justifie par une forte volonté d’harmoniser le volet de la protection des données sur le territoire de l’Union européenne.

Une partie de cette réglementation a donc radicalement remplacé certaines dispositions de la loi « Informatiques et Libertés » et a par conséquent conduit à l’abrogation de la directive 95/46/CE.

Cependant, il convient de rappeler que le RGPD ne couvre pas la totalité du droit des données (lutte contre les infractions pénales et menaces à la sécurité publique par exemple) et laisse des marges de manœuvre nationales sur certains points (majorité numérique par exemple).

En 2018, le législateur a procédé à la modification de la loi « Informatiques et Libertés » ce qui a permis de réorganiser l’ensemble de la loi en cinq titres différents.

Pour lire une version plus compète de cet article sur la protection de la vie privée, cliquez

SOURCES :

https://www.cnil.fr/fr/la-prospection-commerciale-par-sms-mms
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Par internet-et-droit • Tags: , , ,

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

  1. Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

  1. Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

  1. Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

  1. Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties

  1. Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

  1. Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

  1. Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

  1. Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1. Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :

Par internet-et-droit • Tags: ,

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Pour faire suite à cette loi, l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée ont été précisées par un décret en date du 13 octobre 2022. Applicable à partir du 1er Mars 2023, ce décret a pour objectif de protéger la vie privée des consommateurs et mettre fin au démarchage téléphonique abusif à toute heure. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s’avère protecteur puisqu’il a vocation à s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu’à celles inscrites, mais sollicitées dans le cadre d’un contrat en cours. L’entrée en vigueur de ce décret permet de responsabiliser les services de démarchage téléphonique en les soumettant à de nouvelles obligations et dans le même temps, d’alléger la charge des recours qui pèsent sur les personnes démarchées pour les faire cesser.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance des manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles  vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.(chapitre V du RGPD).
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • D’être informées de l’utilisation de leurs données à des fins de prospection ;
  • D’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

1 2 3 4

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes