vie privée

Mails et divorce

Fouiller dans le téléphone de son partenaire ou conjoint à son insu est-il constitutif d’une atteinte à ses données personnelles ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Selon l’article 4.1 du RGPD « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

L’article 4.2 du RGPD dispose qu’est dit « traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.


Besoin de l’aide d’un avocat pour un problème de divorce ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


L’information des personnes concernées par un traitement de données constitue un préalable indispensable dont chaque responsable de traitements doit s’acquitter en respectant non seulement les exigences de contenu, mais également d’accessibilité et d’intelligibilité.

Les personnes concernées par un traitement de données à caractère personnel bénéficient, sans exception, du droit d’avoir aisément accès à une information transparente, claire et concise concernant l’utilisation faite de leurs données ainsi que les droits qui leur sont dévolus dans le cadre de ce traitement.

Cette information a pour but non seulement d’informer les intéressés de l’existence et de la nature du traitement, mais également de leur permettre d’exercer les différents droits d’accès et de maîtrise attachés à leurs données.

Le corollaire de ce droit est l’obligation, pour tout responsable de traitement, de fournir aux intéressés ces informations.

Les faits soumis à la chambre contentieuse de l’autorité belge de protection de données relèvent de ce cas typique :

Madame donne à ses enfants un smartphone sur lequel elle a installé une application utilisée ensuite par les enfants pour chatter et appeler leur papa qui vit à l’étranger. Elle accède ainsi à l’historique des conversations et utilise des informations extraites de ces conversations dans la procédure en divorce. Monsieur dépose plainte devant l’autorité de protection des données qui estime que le traitement est strictement personnel ou domestique et ne relève donc pas du RGPD.

Le plaignant explique que son ex-épouse aurait obligé leurs enfants communs (mineurs), lors des vacances de ceux-ci à son domicile en Allemagne, à installer une application sur un smartphone qu’elle détient, permettant ainsi à l’ex-épouse d’accéder à l’historique des conversations entre les enfants et le plaignant ;

Le plaignant souligne que dans ces conversations entre lui-même et les enfants figureraient des éléments utilisés dans le cadre de sa procédure de divorce avec la défenderesse ;

Le 16 mars 2022, le plaignant dépose donc une plainte auprès de l’Autorité de protection des données.

Dans sa décision du 20 mars 2023, la chambre contentieuse décide de classer sans suite au motif que « le dossier ne contient pas ou pas suffisamment d’élément susceptibles d’aboutir à une sanction ou [il] comporte un obstacle technique l’empêchant de rendre une décision. »

En l’occurrence, c’est le champ d’application du RGPD qui est au centre des débats, et en particulier l’article 2.c), selon lequel le règlement ne s’applique pas aux traitements de données à caractère personnel effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ».

En l’occurrence, la Chambre contentieuse décide de procéder à un classement sans suite de la plainte pour doubles motifs technique et d’opportunité.

I. Non-application du RGPD dans le cadre d’une activité strictement personnelle ou domestique

La Chambre contentieuse procède en premier lieu à un classement sans suite technique, dans la mesure où les traitements soulevés dans la plainte ne tombent pas dans le champ d’application matériel du RGPD ou autres lois de protection des données personnelles. En effet, le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.

A ce sujet, l’article 2.2.c) du RGPD dispose que le règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle. Le considérant 18 du RGPD précise que les traitements rentrant dans ce cadre n’ont pas de liens avec une activité professionnelle ou commerciale, et que les activités personnelles et domestiques pourraient inclure l’échange de correspondance. Cette exemption dans le cadre d’une activité domestique doit être évaluée de façon globale avec la situation en cause. La CJUE estime que cette exemption doit « être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers »

En outre, il convient de prendre en compte si les données en question sont ou non rendues accessibles à un grand nombre de personnes manifestement étrangères à la sphère privée des personnes concernées. En l’occurrence, les conversations s’insèrent ici dans un cadre strictement privé et limité. La Chambre contentieuse estime donc que les traitements en cause ont lieu dans le cadre d’activités strictement personnelles ou domestiques, et que le RGPD ne s’applique par conséquent pas.

La jurisprudence et en particulier l’arrêt Bodil Lindqvist de la CJUE adopte également cette approche plutôt restrictive : cette exception qui figurait déjà dans la directive de 1995 « vise uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers. » En l’occurrence, il s’agissait d’un professeur de catéchisme qui s’était blessé lors d’une activité privée et qui se retrouvait, de ce coup, empêché de donner un cours : la Cour a estimé que cette information publiée sur le site de la paroisse ne relevait pas de l’activité strictement personnelle ou domestique.

Appliquant ceci au cas d’espèce, la chambre contentieuse estime que « le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. »

II. Le prononcé du classement sans suite de la plainte

En dernier lieu, et sans préjudice de ce qui précède, la Chambre contentieuse procède à un classement sans suite pour motif d’opportunité. En effet, le plaignant indique être en procédure de divorce avec la défenderesse, et spécifie utiliser certaines données personnelles présentes dans ses conversations chats avec les enfants dans le cadre de cette procédure, conversations qu’il allègue être traité par la défenderesse. Or, la Chambre contentieuse n’a pas pour priorité d’intervenir dans les procédures judiciaires ou administratives en cours.

Elle peut par ailleurs estimer que la plainte est accessoire à un litige plus large qui nécessite d’être débattu devant les cours et tribunaux judiciaires et administratifs ou une autre autorité compétente. En l’espèce, la Chambre contentieuse estime que la plainte est accessoire à la procédure de divorce devant les juridictions de l’ordre judiciaire. La Chambre contentieuse considère pour ces raisons qu’il est inopportun de poursuivre le suivi du dossier, et décide en conséquence de ne pas procéder, entre autres, à un examen de l’affaire quant au fond.

Pour rappel :

Selon l’article 2.1 du RGPD, le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Selon l’article 2.2 du RGPD, Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

  1. a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;
  3. c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Pour lire une version plus approfondie de cet article sur les mails et le divorce, cliquez

Sources :

https://www.droit-technologie.org/actualites/divorce-et-rgpd-le-reglement-ne-sapplique-pas-toujours/
https://www.gdpr-expert.eu/article.html?id=2#caselaw
https://www.gdpr-expert.eu/article.html?id=2#textesofficiels

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.


Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Pour faire suite à cette loi, l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée ont été précisées par un décret en date du 13 octobre 2022. Applicable à partir du 1er Mars 2023, ce décret a pour objectif de protéger la vie privée des consommateurs et mettre fin au démarchage téléphonique abusif à toute heure. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s’avère protecteur puisqu’il a vocation à s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu’à celles inscrites, mais sollicitées dans le cadre d’un contrat en cours. L’entrée en vigueur de ce décret permet de responsabiliser les services de démarchage téléphonique en les soumettant à de nouvelles obligations et dans le même temps, d’alléger la charge des recours qui pèsent sur les personnes démarchées pour les faire cesser.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance des manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles  vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.(chapitre V du RGPD).
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • D’être informées de l’utilisation de leurs données à des fins de prospection ;
  • D’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

Etre en conformité avec le RGPD et l’accountability

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises sont au courant des dispositions en la matière.

NOUVEAU : Utilisez nos services pour faire retirer un contenu lié à la protection des données ou de contrefaçon en passant par le formulaire !

Le droit européen a instauré un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne. Le texte a pour objectif, comme le rappelle la CNIL, de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.


Besoin de l’aide d’un avocat pour un problème de rgpd ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.

Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.

La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.

Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.

Les données sont aujourd’hui des sources de valeur considérable. Elles représentent non seulement des actifs pour les entreprises, mais elles sont également un moyen d’assurer la continuité de leurs activités. Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.

Au regard des dangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).

I. Le cadre juridique instauré par le RGPD , le régime d’accountability et Privacy by Design

Le texte européen entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises et en particulier l’accountability et le « Privacy by Design »

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données traitées concernent les personnes qui se trouvent sur le territoire de l’Union européen (principe de ciblage).

Ce texte insère de nouvelles notions telles que la « Privacy by Design ». Définie à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit aussi bien de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.

D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. Pour commencer, le texte amène la « consécration  » du droit à l’oubli  » , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » .

Les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront veiller à ce que seules les données nécessaires à la finalité en cause soient collectées.

Également, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.

Par ailleurs, les organismes devront répondre aux demandes d’exercice des droits des personnes concernées. Énoncés au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.

De plus, ils devront à chaque traitement s’assurer d’avoir recueilli le consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement.

Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.

Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale.  Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.

Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.

La tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisés contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

C’est notamment le cas lors du choix des prestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Pour toute violation de ces dispositions, le texte prévoit notamment des amendes administratives, pouvant s’élever jusqu’à 20 millions d’euros « ?ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent? ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Si tel n’est pas le cas, une mise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.

La CNIL est venue sanctionner de nombreuses entreprises depuis l’instauration du RGPD, en raison de leur manque de mise en conformité avec le règlement. La sanction la plus importante fut celle de Google, dans une décision du 21 janvier 2019 où la CNIL a prononcé une amende d’un montant total de 50 millions d’euros.

Cette décision fut confirmée par le Conseil d’État dans une décision du 19 juin 2020, qui considère que l’amende de 50 millions d’euros n’était pas disproportionnée.

Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.

L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.

Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD.

Cette décision fut suivie de nombreuses autres amendes pour manquement au RGPD, mais jamais avec un montant aussi élevé. Ainsi dans une décision du 28 mai 2019, l’absence de contrôle des accès aux données conservées par un site internet fut sanctionnée à hauteur de 400 000 euros d’amende.

Dans une décision du 13 juin 2019, l’amende n’a pas dépassé 20 000 euros. Encore récemment, un manquement aux articles 32 et 33 du RGPD fut sanctionné par la CNIL à une amende de 3 000 euros. L’article 32 du RGPD prévoyant l’obligation d’assurer un niveau de sécurité adapté aux risques, en ayant recours à des mesures techniques et organisationnelles appropriées.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu », dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, qui a infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Mais il s’avère que les entreprises n’ont pas forcément conscience de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

II. Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Depuis l’entrée en vigueur de cette réglementation, il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’initier si tel n’est pas le cas, un processus de mise en conformité. À cet égard, le délégué à la protection des données (A) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (B) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité par rapport à l’accountability et le « Privacy by Design »

Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.

On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).

Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doit désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mises en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.

En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d’assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d’accès internet.

Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.

Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

La désignation d’un pilote paraît essentielle au regard de la mise en conformité des entreprises avec le RGPD. Le délégué à la protection des données ( » DPO « ), au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.

La désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « ?fortement recommandé? » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement  » .

Il n’est en effet, pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la réglementation. Afin d’être désigné, le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.

L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrit un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices (article avec Me Eric Barbry). La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.

Il ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protection des données. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.

Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Précisé à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectifLe DPO n’a pas nécessairement à être membre de l’entreprise, puisqu’elle peut être liée avec lui sur la base d’un contrat de service. Il est soumis au secret professionnel ou à une obligation de confidentialité.

Le DPO devra jouer le rôle d’un coordinateur, à savoir comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction.

Ceci étant, le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement?; il est fortement conseillé pour lui néanmoins de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois le DPO désigné, l’entreprise devra alors engager un processus de transition en trois étapes.

La première consiste à lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise y consignera toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, leur provenance ou encore la manière dont elles sont traitées.

Cependant les registres de traitement sont allégés pour les entreprises de moins de 250 salariés.

Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs.

Dans un second temps, il s’agira de procéder à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.

L’accountability est une démarche permanente qui permet de prouver que le respect des règles fixées par le RGPD.

Pour lire une version plus complète sur la RGDP, cliquez

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720