SYNERGIES CONCURRENCE ET RGPD (PUBLICATION AU JOURNAL DU MANAGEMENT JURIDIQUE)
SYNERGIES CONCURRENCE ET RGPD JOURNAL MANAGEMENT
Article Concurrence et Distribution de Maître Julie GRINGORE paru dans le Journal du Management Juridique - février 2024 :
Le Guide pratique de sensibilisation au RGPD de la CNIL, dans le cadre de sa promotion pour la mise en conformité des acteurs économiques en matière de données personnelles, se référait dès 2018 au droit de la concurrence dans les termes suivants : « Si vous respectez le RGPD, vous aurez un avantage concurrentiel ! »
L’évolution réglementaire et jurisprudentielle, six années plus tard en 2024, pourrait être reformulée comme suit : « Si vous ne respectez pas le RGPD, vous aurez des sanctions concurrentielles ! » ; il s’avère en effet que la non-conformité au RGPD est désormais susceptible de constituer tant un acte de concurrence déloyale (1) que de concurrence illicite (2).
Lire la suite :
➔ p56 Journal du Management Juridique 98
INTERVIEW CYBERCRIMINALITE (JULIE GRINGORE / ACTUS DES BARREAUX AVRIL 2023)
Retrouvez notre interview sur la cybercriminalité publiée dans la revue Actus Des Barreaux avril 2023
Téléchargement : Actus Des Barreaux avril 2023
Cybercriminalité : conférence à la maison de l'Avocat
Retrouvez les slides de notre conférence sur la cybercriminalité présentée à la maison de l'Avocat Caen le 16 septembre 2022 (Me Julie Gringore).
Téléchargement : Conférence cybercriminalité
« Numérique au travail : droits et obligations » Festival des entrepreneurs CCI 2023
Retrouvez les slides de notre conférence « Numérique au travail : droits et obligations » présentée à l’occasion du Festival des entrepreneurs CCI 2023 (Me Julie Gringore & Me Elise Delaunay).
Téléchargement : Présentation Festival des entrepreneurs 2023 - partenaires
REFORME DES PROCEDURES DE SANCTION CNIL : LES ENJEUX DES PME (publication au Journal du Management juridique)
SANCTION CNIL JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2022 :
Les procédures de sanction de la CNIL applicables depuis le 25 mai 2018 viennent d’être réformées (1) et complétées par une nouvelle procédure dite simplifiée (2), pour faire face à la recrudescence des plaintes (14.000 en 2021) et pour adapter les sanctions aux plus petites structures et PME, dont les enjeux RGPD peuvent être moindres du fait de leur périmètre (Loi n° 2022-52 du 24 janvier 2022 et Décret d'application n° 2022-517 du 8 avril 2022).
Lire la suite :
➔ p58 Journal du Management Juridique 90
RGPD 3 ANS EN MAI 2021 : FIN DES TOLERANCES ET AUGMENTATION DES CONTROLES CNIL
Le RGPD est applicable en matière de données personnelles depuis le 25 mai 2018 en France, et plusieurs sanctions de la CNIL ont depuis été très médiatisées du fait de la notoriété des acteurs concernés comme de l’importance des amendes infligées : respectivement 100 millions et 35 millions d’euros d’amende à l’encontre de Google et Amazon, et plus « modestement » en France 400.000 euros et 250.000 euros à l’encontre de l’administrateur de biens Sergic et de la société Optical Center par exemple.
La tendance de la CNIL est toutefois désormais de se tourner également vers les TPE/PME qui représentent, en cumul, un enjeu tout aussi important que les grands groupes en matière de protection de données personnelles ; c’est pourquoi la période de tolérance triennale initialement annoncée en 2018 touche désormais à sa fin (1), et que de nouveaux textes permettant d’adapter les procédures CNIL aux plus petites structures sont en passe d’être adoptés (2).
- Fin de la période triennale de tolérance
Outre l’obligation d’auto-déclaration de registres en interne pour tous types de traitements de données personnelles, le RGPD impose de procéder à des « analyses d’impact » (art. 35 RGPD) sur les fichiers les plus sensibles et/ou présentant le plus de risques (données de santé, appartenance syndicale, données concernant des personnes vulnérables ; traitements « à grande échelle », systématiques, croisés…) afin de déterminer si les mesures prises en matière de sécurité sont adaptées à leur nécessité de protection accrue.
Or concernant cette obligation de mener des analyses d’impact, la CNIL a d’emblée annoncé, lors de l’entrée en application du RGPD en France en mai 2018, accorder dans un premier temps une période triennale de tolérance, notamment pour les opérateurs qui avaient d’ores et déjà procédé à des déclarations CNIL selon le système précédemment en vigueur.
La CNIL a également elle-même profité de cette période de tolérance pour rendre des délibérations listant des cas d’exclusion ou au contraire d’obligation d’analyses d’impact, au titre desquels doivent par exemple y être soumis des fichiers RH tels que les traitements de profils de personnes physiques à des fins de gestion des ressources humaine, ou encore ayant pour finalité de surveiller de manière constante l'activité des employés concernés.
C’est donc le 25 mai 2021 que s’achève cette période de tolérance de la CNIL relative à l’obligation de mener des analyses d’impact sur les fichiers les plus sensibles, et il est donc à prévoir une recrudescence des contrôles, d’autant plus que des adaptations procédurales sont envisagées à cet effet au niveau législatif.
- Adaptations procédurales aux petites structures
Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification) adopté le 16 mars 2021 et présenté en Conseil des Ministres le 12 mai 2021, concerne essentiellement les collectivités territoriales mais prévoit également, en son article 41, une simplification de la procédure CNIL pour l’adapter aux plus petites structures et pouvoir ainsi en faciliter le contrôle ; cette procédure simplifiée peut être comparée à une procédure de référé en ce qu’elle est à la fois plus rapide mais aussi plus limitée que la procédure usuelle de la CNIL, tant dans ses conditions d’application que dans ses sanctions.
Tout d’abord concernant les conditions permettant de recourir à ce circuit court, il est prévu que « Le président de la CNIL ne peut engager les poursuites selon la procédure simplifiée que lorsque, d’une part, il estime que les mesures correctrices [limitées] constituent la réponse appropriée à la gravité des manquements constatés et, d’autre part, l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ».
Ensuite ne pourront pas, à l’issue de la procédure simplifiée, être appliquées les sanctions usuelles s'élevant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ; dans ces conditions spécifiques en effet « le montant de l’amende administrative ne peut excéder un montant total de 20 000 € et le montant de l’astreinte ne peut excéder 100 € par jour de retard à compter de la date fixée par la décision ».
Le texte doit désormais être présenté au Sénat au mois de juillet 2021 puis à l’Assemblée Nationale à l’automne suivant, pour concrétiser avant la fin du quinquennat l’engagement de l’exécutif, pris à l’issue du Grand débat national, sur cette loi 4D.
*
Nous demeurons toujours mobilisés, dans le cadre de ces évolutions juridiques, pour accompagner les clients qui en ont besoin selon audit gratuit à votre disposition pour commencer.
_____________
Julie Gringore
Interview RGPD en replay : les données personnelles au quotidien
Interview Julie Gringore France Bleu 15 février 2021
https://www.francebleu.fr/emissions/les-experts/normandie-caen/maitre-julie-gringore-avocate