Archives du mot-clé CNIL

Le Règlement européen sur la protection des données (RGPD) : comment s’y préparer ?

giphy1

Le Règlement européen sur la protection des données, on en entend parler sans trop savoir ce que cela recouvre.

Quelques informations de base ci-après pour vous éclairer en cette belle rentrée :

– Il entre en vigueur le 25 mai 2018

– A ce stade, le G29 a publié le 13 décembre 2016 ses lignes directrices qui permettent de comprendre l’étendu de ce qui est attendu des entreprises en matière de protection des données personnelles.

– En substance :

  • la philosophie recherchée consiste en l’articulation de moyens juridiques et technologiques en vue de la prévention du risque (logique de responsabilité versus la logique de formalités préalables qui a cours aujourd’hui),
  • est retenue une approche de Privacy by design > la vie privée est désormais au cœur de l’approche, la société dont la technologie est fondée sur l’usage de données personnelles devant se préoccuper de leur sécurité et confidentialité dès la définition de son projet (produit, service, plateforme, application, etc).

– Concrètement cela signifie :

  • il faut réduire les données collectées à celles strictement nécessaires et pertinentes par rapport à l’usage qui est nécessaire pour le projet,
  • il faut anonymiser ou pseudonymiser les données autant que possible,
  • les mêmes mesures sont attendues tant du responsable du traitement de données personnelles que de ses sous-traitants, raison pour laquelle les clauses relatives aux Données personnelles dans les contrats SaaS ou dans les contrats informatiques sont à sérieusement amender, développer et renforcer ! (mais on est là pour vous aider, rassurez-vous !),
  • l’obligation de notifier toute faille de sécurité sous 72H aux autorités de régulations.

– La mise en place d’études d’impact au début de la collecte et de manière récurrente est obligatoire pour les traitements qui seraient susceptibles de présenter des risques pour les personnes dont les données personnelles sont collectées.

=> Nous recommandons néanmoins de mener de telles études pour tout traitement. En effet, nous entrons dans une logique de logique de cartographie des traitements de données, des risques y afférents et des actions à mener, ce qui suppose la mise en place de process internes et la mise au point d’une documentation prouvant la conformité au Règlement.

A cette fin, la désignation d’un pilote de la gouvernance des données personnelles (voire d’une instance dédiée) est à prévoir (en remplacement du Correspondant Informatiques et Libertés).

– Les sanctions encourues sont beaucoup plus lourdes que par le passé : 10 000 000 Euros ou 2% du C.A. annuel mondial total de l’exercice précédent (étant précisé que le montant le plus élevé sera retenu).

Nous vous invitons également à vous rendre sur le site de la CNIL www.cnil.fr qui a publié au premier semestre un guide de préparation au RGPD en 6 étapes : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees

You better get ready !

Valérie Chazaud

Publicités

Cookies et données personnelles

Les cookies que vous stockez dans l’équipement terminal d’un client contiennent, par essence, des données personnelles relatives à ce client.

Sont-ils donc soumis à la réglementation informatiques et libertés et nécessitent ils le consentement préalable de la personne concernée?

Depuis l’ordonnance du 24 août 2011, il est en effet prévu l’information préalable et le recueil du consentement de l’internaute avant toute implantation d’un cookie sur son poste.

Toutefois, des exceptions existent, l’une relative aux cookies permettant ou facilitant la communication par voie électronique, l’autre relative aux cookies nécessaires à la fourniture d’un service de communication en ligne. Sont donc exclus, par exemple, selon la CNIL, les cookies permettant la gestion d’une session utilisateur ou d’un panier d’achat.

Néanmoins, la CNIL recommande pour ces exceptions que l’internaute soit informé de l’utilisation de tels cookies. Généralement, les conditions générales d’utilisation du site constituent le document approprié pour réaliser une telle information.

La CNIL à également émis son opinion sur les cookies qui permettent de mesurer l’audience d’un site internet et considère à leur égard que le consentement préalable de l’internaute n’est pas nécessaire des lors que certaines conditions sont remplies (information claire et complète, droit d’accès garanti, droit d’opposition garanti via un outil de désactivation facilement appréhendable, finalité limitée à la mesure d’audience, délai de conservation de six mois, géolocalisation limitée à la ville).

La CNIL étant très attentive aux sites de vente par internet, si vous avez un doute sur la catégorie de cookie que vous désirez mettre en œuvre sur le site de votre société et sur le régime applicable, il est recommandé de prendre le temps d’une étude approfondie!

Valérie Chazaud – Avocate

Les dangers du nuage sans parachute!

Le cloud computing et les contrats SaaS permettent aux sociétés de faire d’importantes économies au niveau de la gestion de leur parc logiciel informatique.

Si ces solutions dématérialisées sont souples et adaptables à l’infini en fonction de l’évolution de la taille des sociétés et de leurs besoins, il reste néanmoins nécessaire d’avoir en tête, au moment de la signature d’un tel contrat avec un prestataire, des risques inhérents à un tel contrat.

En effet, la dématérialisation de la solution suppose que les données de l’entreprise qui transitent sur cette solution ou qui sont accessibles à distance sont donc stockées sur un serveur du prestataire.

Il convient donc de s’assurer dés la signature de ce que:

– les données seront bien stockées sur un serveur dédié

– les données seront sécurisées techniquement et juridiquement vis à vis de toute intrusion d’un tiers, en particulier si le serveur de stockage n’est pas dédié

– un serveur de back up est également fourni, dans les mêmes conditions

– les données sont hébergées en France ou à tout le moins au sein de l’Union européenne

– les données sont restituées sans délai en fin de contrat et sur un format techniquement accessible par la société cliente

Naturellement les questions de responsabilité du prestataire devront être abordées et il va de soi qu’une obligation de moyens en la matière ne peut être suffisante. Certaines obligations au titre de tels contrats ne peuvent en effet constituer que des obligations de résultat (ne serait ce que la restitution des données complètes en fin de contrat).

Outre ces points, la société cliente se doit de s’interroger, à l’occasion de la signature de tels contrats, des contraintes réglementaires pesant sur elle et qu’elle doit également mettre en partie à la charge du prestataire s’agissant de données personnelles.

La CNIL l’a en effet encore rappelé en début d’été et l’évolution prochaine de la réglementation européenne en la matière ne laissera pas de répit aux entreprises.

 

Valérie Chazaud, Avocate