RGPD 3 ANS EN MAI 2021 : FIN DES TOLERANCES ET AUGMENTATION DES CONTROLES CNIL
Le RGPD est applicable en matière de données personnelles depuis le 25 mai 2018 en France, et plusieurs sanctions de la CNIL ont depuis été très médiatisées du fait de la notoriété des acteurs concernés comme de l’importance des amendes infligées : respectivement 100 millions et 35 millions d’euros d’amende à l’encontre de Google et Amazon, et plus « modestement » en France 400.000 euros et 250.000 euros à l’encontre de l’administrateur de biens Sergic et de la société Optical Center par exemple.
La tendance de la CNIL est toutefois désormais de se tourner également vers les TPE/PME qui représentent, en cumul, un enjeu tout aussi important que les grands groupes en matière de protection de données personnelles ; c’est pourquoi la période de tolérance triennale initialement annoncée en 2018 touche désormais à sa fin (1), et que de nouveaux textes permettant d’adapter les procédures CNIL aux plus petites structures sont en passe d’être adoptés (2).
- Fin de la période triennale de tolérance
Outre l’obligation d’auto-déclaration de registres en interne pour tous types de traitements de données personnelles, le RGPD impose de procéder à des « analyses d’impact » (art. 35 RGPD) sur les fichiers les plus sensibles et/ou présentant le plus de risques (données de santé, appartenance syndicale, données concernant des personnes vulnérables ; traitements « à grande échelle », systématiques, croisés…) afin de déterminer si les mesures prises en matière de sécurité sont adaptées à leur nécessité de protection accrue.
Or concernant cette obligation de mener des analyses d’impact, la CNIL a d’emblée annoncé, lors de l’entrée en application du RGPD en France en mai 2018, accorder dans un premier temps une période triennale de tolérance, notamment pour les opérateurs qui avaient d’ores et déjà procédé à des déclarations CNIL selon le système précédemment en vigueur.
La CNIL a également elle-même profité de cette période de tolérance pour rendre des délibérations listant des cas d’exclusion ou au contraire d’obligation d’analyses d’impact, au titre desquels doivent par exemple y être soumis des fichiers RH tels que les traitements de profils de personnes physiques à des fins de gestion des ressources humaine, ou encore ayant pour finalité de surveiller de manière constante l'activité des employés concernés.
C’est donc le 25 mai 2021 que s’achève cette période de tolérance de la CNIL relative à l’obligation de mener des analyses d’impact sur les fichiers les plus sensibles, et il est donc à prévoir une recrudescence des contrôles, d’autant plus que des adaptations procédurales sont envisagées à cet effet au niveau législatif.
- Adaptations procédurales aux petites structures
Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification) adopté le 16 mars 2021 et présenté en Conseil des Ministres le 12 mai 2021, concerne essentiellement les collectivités territoriales mais prévoit également, en son article 41, une simplification de la procédure CNIL pour l’adapter aux plus petites structures et pouvoir ainsi en faciliter le contrôle ; cette procédure simplifiée peut être comparée à une procédure de référé en ce qu’elle est à la fois plus rapide mais aussi plus limitée que la procédure usuelle de la CNIL, tant dans ses conditions d’application que dans ses sanctions.
Tout d’abord concernant les conditions permettant de recourir à ce circuit court, il est prévu que « Le président de la CNIL ne peut engager les poursuites selon la procédure simplifiée que lorsque, d’une part, il estime que les mesures correctrices [limitées] constituent la réponse appropriée à la gravité des manquements constatés et, d’autre part, l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ».
Ensuite ne pourront pas, à l’issue de la procédure simplifiée, être appliquées les sanctions usuelles s'élevant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ; dans ces conditions spécifiques en effet « le montant de l’amende administrative ne peut excéder un montant total de 20 000 € et le montant de l’astreinte ne peut excéder 100 € par jour de retard à compter de la date fixée par la décision ».
Le texte doit désormais être présenté au Sénat au mois de juillet 2021 puis à l’Assemblée Nationale à l’automne suivant, pour concrétiser avant la fin du quinquennat l’engagement de l’exécutif, pris à l’issue du Grand débat national, sur cette loi 4D.
*
Nous demeurons toujours mobilisés, dans le cadre de ces évolutions juridiques, pour accompagner les clients qui en ont besoin selon audit gratuit à votre disposition pour commencer.
_____________
Julie Gringore
SITE E-COMMERCE : CONCURRENCE REGLEMENTEE ET DISTRIBUTION SECURISEE
Article e-commerce de Maître Julie GRINGORE paru au Journal du Management juridique février 2021
Si acheter en ligne était déjà une pratique courante pour 40 millions de français en 2019, la crise sanitaire liée à la pandémie de Covid a amené les enseignes à créer ou développer plus encore leurs sites Internet dans une optique marchande ; en effet les statistiques publiées par la FEVAD le 8 décembre 2020 faisaient état, pour les trois premiers trimestres, « d’une augmentation du canal web des magasins 3 fois plus importante que pour la même période en 2019 ».
L’urgence dans laquelle de nombreux sites marchands sont ainsi apparus en quelques mois ne doit toutefois pas faire oublier que le droit de la concurrence est tout autant applicable à la sphère numérique qu’aux ventes en magasin et que la distribution dématérialisée se doit d’être sécurisée pour inspirer suffisamment confiance aux acheteurs.
Lire la suite :
➔ p22 Journal du Management Juridique 80
➔ couv Journal du Management Juridique 80
Interview RGPD en replay : les données personnelles au quotidien
Interview Julie Gringore France Bleu 15 février 2021
https://www.francebleu.fr/emissions/les-experts/normandie-caen/maitre-julie-gringore-avocate
Webinaire Cybersécurité et RGPD
Webinaire juridique sur la Cybersécurité réalisé par Me Julie Gringore avec l’éditeur de logiciels Mission RGPD : la Cyber-sécurité appliquée aux entreprises et à leurs données, présentant les enjeux de la sécurité informatique et juridique pour les opérateurs économiques, « y compris les micro, petites et moyennes entreprises », selon les textes applicables (cons. 13 RGPD).
Y sont abordées les incidences des nouvelles technologies et de leurs réglementations sur l’activité des entreprises, aux fins de mise en conformité juridique sur les données personnelles, d’encadrement du télétravail ou encore de réorganisation technologique aux fins de sauvegarde de la compétitivité.
https://youtu.be/UnPPi--g3vE?t=7
CYBER-SECURITE : CLE DE VOUTE DU RGPD (publication au Journal du Management juridique)
RGPD CYBERSECURITE JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2020 :
La cyber-sécurité est au cœur de la réglementation européenne en matière de données personnelles depuis le 27 avril 2016, et ce dans son intitulé même : RGPD - Règlement Général sur la « Protection » des Données ; cette préoccupation concerne au premier chef les données des personnes physiques, mais la réglementation a également pour objectif de « garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises » (cons. 13 RGPD).
Ainsi une section entière du RGPD est- elle consacrée à la sécurité des données personnelles, dont l’article introductif 32.1 dispose notamment que « compte tenu... des risques » (1) le responsable du traitement met en œuvre « les mesures techniques et organisationnelles appropriées » (2).
RGPD : le temps des sanctions (publication au Journal du Management Juridique)
« Avec la réception et la transmission simultanées, ce fut la fin de la vie privée » (Georges Orwell, roman 1984) : c’est pour éviter la réalisation de ce type de prophétie que sont édictées des normes telles que le Règlement Général sur la Protection des Données européen, applicable depuis le 25 mai 2018 - ou encore quatre décennies plus tôt la loi française du 6 janvier 1978 Informatique et Libertés, toujours en vigueur même si amplement modifiée depuis, en dernier lieu précisément pour intégrer le RGPD.
Ces textes normatifs n’ont toutefois d’intérêt que s’ils sont réellement suivis d’effet ; si l’on peut à cet égard compter sur un phénomène d’opportunité que peuvent y voir les responsables de traitements de données pour communiquer sur leur mise en conformité RGPD vis-à-vis des personnes concernées (clientèle, abonnés, citoyens...), l’efficacité d’une telle réglementation se mesure également nécessairement à l’aune des sanctions qu’elle est susceptible de générer en cas de contravention.
À cet effet le spectre des sanctions prévues par le nouveau texte RGPD a été étendu (1), et leurs premières applications françaises ont d’ores et déjà été rendues par la CNIL (2).
[lire la suite en PJ] RGPD le temps des sanctions
Matinale RGPD 17.10.19 à la CCI de Caen
TPE, PME, grands groupes, associations... Tous les acteurs traitant des données personnelles doivent désormais se conformer au Règlement RGPD, dont la transposition a récemment été achevée par le Décret du 29 mai 2019.
Pour celles et ceux qui ne seraient pas encore en conformité selon ces nouvelles normes, nous demeurons à votre disposition pour vous assister avec une prestation juridique et informatique complète GDPR Box ; pour plus de renseignements nous vous invitons à nous contacter ou à assister à notre matinée de présentation RGPD du 17 octobre 2019 à la CCI de Caen, en partenariat avec notre fournisseur de logiciel Mission RGPD.
INSCRIPTION PAR MAIL EN PRÉCISANT LE NOMBRE DE PARTICIPANTS JUSQU'AU 1er OCTOBRE contact@derby-avocats.com
ou en validant le lien https://www.eventbrite.fr/e/billets-matinale-rgpd-72662833491
Programme du 17 octobre 2019 / 09h15-11h45 :
09h15 : accueil
09h30 : RGPD / les enjeux juridiques
(Julie Gringore - Derby Avocats)
10h30 : échanges
10h45 : RGPD / la gestion informatique
(Maxime Palluault - Mission RGPD)
11h45 : conclusion
GDPR Box < Le RGPD dans ma Boîte >
RGPD un an après : parachèvement du cadre juridique et application dans les entreprises
L’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018 (voir précédent article du mois de mai 2018) n’était que la ligne de départ du processus de refonte des textes français en la matière, laquelle vient de s’achever avec le Décret 2019-536 du 29 mai 2019 (1), ce qui n’a toutefois pas empêché les entreprises de commencer à adapter leurs traitements de données personnelles dans l’intervalle depuis un an déjà (2).
1. Entrée en vigueur le 1er juin 2019 du Décret 2019-536
Après la Loi 2018–493 du 20 juin 2018 et l’Ordonnance 2018–1125 du 12 décembre 2018, qui ont respectivement adapté puis « ordonné » la Loi informatique et libertés du 6 janvier 1978 (voir précédent article du mois de décembre 2018), manquait encore le Décret leur permettant d’entrer en vigueur, et qui était prévu pour le 1er juin 2019 au plus tard ; c’est donc chose faite, tout juste en temps utile avec le Décret 2019-536 publié le 30 mai 2019, « pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ».
Fondamentalement ce dernier texte permet surtout à l’ensemble normatif de recevoir désormais application, ainsi que le mentionne sa notice introductive selon laquelle « le décret tire les conséquences de forme et de fond de la loi n°78-17 du 6 janvier 1978 dans sa version résultant de l'ordonnance n° 2018-1125 du 12 décembre 2018. Il harmonise l'état du droit, adapte certaines règles de procédures devant la CNIL. Il précise les droits des personnes concernées. Il abroge le décret n° 2005-1309 du 20 octobre 2005 ».
En amont la CNIL s’était prononcée sur le projet de ce Décret selon avis du 9 mai 2019, estimant certes les objectifs de mise en cohérence et de clarification atteints, mais émettant plusieurs observations en vue d’améliorer encore plus efficacement la sécurité juridique des usagers d’une part, et d’encadrer certaines procédures de contrôle, de mise en demeure et de sanction d’autre part ; dans un communiqué publié en aval le 3 juin 2019, la CNIL a estimé que nombre de ses observations avaient dûment été prises en compte par le Gouvernement dans le Décret finalement publié.
Si les droits et obligations en matière de protection des données personnelles doivent donc désormais être clairement appréhendés par chacun depuis l’entrée en vigueur de ce dernier Décret, en pratique les organismes traitant de telles données ont dû commencer à s’adapter de manière effective dans l’intervalle du fait notamment du caractère immédiatement applicable du Règlement européen dès le 25 mai 2018.
2. Application du RGPD : premier anniversaire le 25 mai 2019
L’importante campagne de communication qui a entouré l’entrée en vigueur du RGPD le 25 mai 2018, et parallèlement les scandales à répétition qui ont concerné des utilisations non consenties de données par certains réseaux sociaux, ont entraîné une forte prise de conscience des enjeux en la matière de part et d’autre.
Ainsi du côté des usagers, une attention plus scrupuleuse et une demande de protection plus effective a fait augmenter de 30%, entre mai 2018 et mai 2019, les plaintes adressées à la CNIL (plus de 11.900 en France, et 144.376 au niveau européen).
L’intérêt pour les professionnels d’intégrer ainsi les nouveaux dispositifs RGPD n’est donc plus purement et simplement normatif mais devient en outre un véritable outil de communication, afin de répondre positivement aux attentes des usagers en termes de respect de leurs données personnelles ; à titre d’exemple, plus de 53.000 organismes sont actuellement recensés par la CNIL comme ayant d’ores et déjà désigné un Délégué à la Protection des Données.
Cependant des progrès restent encore à faire en faveur des organismes traitant des données personnelles ; si la CNIL leur vient certes en aide en multipliant des notes « pratiques » et autres modèles accessibles sur son site Internet cnil.fr, certaines délibérations annoncées se font encore attendre, telle que la publication de la liste des traitements pour lesquels une « analyse d’impact » n’est pas requise, conformément à ce que prévoit l’article 35.5 du RGPD.
***
Après une première année de mise en place normative, et une action pour l’instant plus pédagogique que répressive de la CNIL, cette dernière prévient néanmoins, notamment aux termes d’un récent communiqué du 23 mai 2019, qu’elle vérifiera désormais « pleinement le respect des nouvelles exigences » dans l’instruction des plaintes et dans ses contrôles... Mieux vaut donc être prêt, d’autant plus que la CNIL complète ce dernier communiqué en précisant qu’à défaut « elle en tirera au besoin toutes les conséquences, y compris en termes de sanction », lesquelles sont essentiellement financières.
https://www.legifrance.gouv.fr/eli/decret/2019/5/29/JUSC1911425D/jo/texte
Julie GRINGORE
Juin 2019
