RGPD – D Day!!!

RGPD – D Day!!!

Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.

Externalisation de traitements de données à l’étranger: pas de transfert de données hors UE sans l’autorisation préalable de la CNIL

Externalisation de traitements de données à l’étranger: pas de transfert de données hors UE sans l’autorisation préalable de la CNIL

Le responsable d’un traitement de données à caractère personnel peut transférer les données vers un Etat n’appartenant pas à la Communauté européenne à deux conditions : soit « cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données peuvent faire l’objet » (art. 68 de la loi du 6 janvier 1978), soit, « par décision de la CNIL […] lorsque le traitement garantit un niveau de protection suffisant de la vie privée » (art. 69 de la loi du 6 janvier 1978).

Dans une délibération du 21 décembre 2015, la CNIL a rappelé que, « le principe d’interdiction de transférer des données vers un Etat n’appartenant pas à l’Union européenne et n’assurant pas un niveau de protection adéquat de la vie privée, ne peut être levé qu’après une décision de la CNIL ».

Dans cette affaire, la CNIL avait, 18 mois après la clôture d’une plainte, mené un contrôle sur place dans les locaux d’une société ayant pour activité la constitution d’une base de données de séniors. La CNIL avait alors constaté que la société sous-traitait, sans contrat, à un prestataire situé à l’Ile Maurice la mission de contacter par téléphone, en son nom, des personnes choisies dans l’annuaire afin de collecter leurs données à caractère personnel.

La CNIL qualifie une telle pratique de transfert de données hors de l’UE vers un pays n’assurant pas un niveau de protection suffisant de la vie privée, et relève que le responsable du traitement n’a ni conclu de contrat avec ce prestataire, ni sollicité l’autorisation préalable de la CNIL avant la mise en œuvre du traitement.

La CNIL rappelle qu’elle apprécie si un traitement garantit un niveau de protection suffisant notamment au regard des clauses insérées dans le contrat avec le sous-traitant. A cet égard, il est important de rappeler, d’une part, que la Commission Européenne a proposé des clauses contractuelles type le 5 février 2010 qui constituent une base de négociation utile avec tout sous-traitant et, d’autre part, que la CNIL a prononcé le 5 décembre 2015 une sanction de 50.000€ à l’encontre de la société Optical Center considérant que cette dernière n’avait pas suffisamment assuré la sécurité et la confidentialité des données de ses clients, notamment dans le cadre de ses relations avec ses prestataires cf notre article sur le sujet http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ).

Dans l’affaire « Profils Seniors », la formation restreinte de la CNIL a, sur le fondement de nombreux manquements à la loi Informatique et Libertés et notamment les articles 67 et 68 de la loi Informatique et libertés, prononcé un avertissement public à l’encontre de la société.

(Délibération de la formation restreinte de la CNIL n°2015-454 du 21 décembre 2015 prononçant un avertissement public à l’encontre de la société PROFILS SENIORS http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-454_avertissement_PROFILS-SENIORS.pdf)