Archives du mot-clé personal data

Découvrez notre nouvelle offre concernant le RGPD!

Plaquette RGPD

A découvrir: Plaquette Mise en conformité au RGPD 2017 !

Publicités

Le Règlement européen sur la protection des données (RGPD) : comment s’y préparer ?

giphy1

Le Règlement européen sur la protection des données, on en entend parler sans trop savoir ce que cela recouvre.

Quelques informations de base ci-après pour vous éclairer en cette belle rentrée :

– Il entre en vigueur le 25 mai 2018

– A ce stade, le G29 a publié le 13 décembre 2016 ses lignes directrices qui permettent de comprendre l’étendu de ce qui est attendu des entreprises en matière de protection des données personnelles.

– En substance :

  • la philosophie recherchée consiste en l’articulation de moyens juridiques et technologiques en vue de la prévention du risque (logique de responsabilité versus la logique de formalités préalables qui a cours aujourd’hui),
  • est retenue une approche de Privacy by design > la vie privée est désormais au cœur de l’approche, la société dont la technologie est fondée sur l’usage de données personnelles devant se préoccuper de leur sécurité et confidentialité dès la définition de son projet (produit, service, plateforme, application, etc).

– Concrètement cela signifie :

  • il faut réduire les données collectées à celles strictement nécessaires et pertinentes par rapport à l’usage qui est nécessaire pour le projet,
  • il faut anonymiser ou pseudonymiser les données autant que possible,
  • les mêmes mesures sont attendues tant du responsable du traitement de données personnelles que de ses sous-traitants, raison pour laquelle les clauses relatives aux Données personnelles dans les contrats SaaS ou dans les contrats informatiques sont à sérieusement amender, développer et renforcer ! (mais on est là pour vous aider, rassurez-vous !),
  • l’obligation de notifier toute faille de sécurité sous 72H aux autorités de régulations.

– La mise en place d’études d’impact au début de la collecte et de manière récurrente est obligatoire pour les traitements qui seraient susceptibles de présenter des risques pour les personnes dont les données personnelles sont collectées.

=> Nous recommandons néanmoins de mener de telles études pour tout traitement. En effet, nous entrons dans une logique de logique de cartographie des traitements de données, des risques y afférents et des actions à mener, ce qui suppose la mise en place de process internes et la mise au point d’une documentation prouvant la conformité au Règlement.

A cette fin, la désignation d’un pilote de la gouvernance des données personnelles (voire d’une instance dédiée) est à prévoir (en remplacement du Correspondant Informatiques et Libertés).

– Les sanctions encourues sont beaucoup plus lourdes que par le passé : 10 000 000 Euros ou 2% du C.A. annuel mondial total de l’exercice précédent (étant précisé que le montant le plus élevé sera retenu).

Nous vous invitons également à vous rendre sur le site de la CNIL www.cnil.fr qui a publié au premier semestre un guide de préparation au RGPD en 6 étapes : https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees

You better get ready !

Valérie Chazaud

La « compliance », kézaco ?

Depuis quelques années, il est très opportun de parler de « compliance » au sein des grandes entreprises.
Mais quelle réalité ce terme recouvre-t-il ?
Quelles sont les étapes de sa mise en œuvre ?
Et est-ce approprié pour des PME ou des ETI ?

En réalité, la « compliance », ou conformité réglementaire, recouvre les domaines stratégiques dans lesquels l’entreprise a décidé de mettre en place un outil qui assure, au sein de ses directions, une appropriation des règles juridiques et réglementaires applicables (droit de la concurrence, réglementation sectorielle particulière, informatiques et libertés, anti-corruption, etc.) et leur respect, le tout sans entraver l’activité économique quotidienne de l’entreprise.

Par conséquent, lors de la définition du programme, il faut constamment garder à l’esprit que les procédures de contrôle qui en découleront doivent avoir pour objectif final d’améliorer les process de l’entreprise, d’améliorer sa rentabilité et la sécurité de ses activités.

L’objectif recherché n’est donc pas la conformité à tout prix à toutes les règlementations qui pourraient être applicables, mais bien l’appropriation de ces règlementations, leur compréhension, l’adaptation des process ou attitudes de manière à gérer le risque dans le respect des objectifs premiers de l’entreprise : en d’autres termes, une question d’équilibre.

Evidemment, le succès de la mise en place d’un programme de compliance passe par l’appropriation par l’ensemble des directions de l’entreprise, qui doivent saisir cette occasion pour évoquer les process non conformes ou à risque ancrés depuis des décennies et les faire évoluer.

Les étapes à la mise en place et au succès d’un programme de « compliance » sont nombreuses et supposent une réelle impulsion de la direction générale.

Il convient en effet de réaliser au préalable une cartographie des risques (juridiques, managériaux, financiers, industriels, etc.) qui permettra ensuite la rédaction d’un code de bonne conduite (ou charte) qui rassemblera les grands principes auxquels l’entreprise s’astreint.
Naturellement, pour que cela se traduise effectivement au sein de l’entreprise, un programme de « compliance » en tant que tel sera mis en place, à savoir une série d’actions de sensibilisation destinés aux employés, leur permettant de comprendre les enjeux et les conséquences de la mise en place du code de bonne conduite.
Enfin, pour assurer le respect du code de bonne conduite, des process de contrôle et / ou d’audit réguliers sont à organiser.

Les PME et ETI ont tout autant en gagner à la mise en place d’un tel programme.
D’une part, leurs process internes sont souvent inexistants ou très légers, et cela peut être l’occasion de professionnaliser et responsabiliser davantage les équipes.
En outre, en tant que partenaires, sous-traitants, prestataires ou fournisseurs de grands groupes, il est désormais attendu de leur part un niveau d’exigence équivalent à celui des grands groupes.
C’est enfin une question d’image pour ces PME et ETI qui peuvent utiliser la mise en place de ces programmes comme un outil de marketing puissant.

En conclusion, il peut être opportun de s’intéresser à cette question dés que l’entreprise commence à connaître un développement économique conséquent !

Valérie Chazaud
Avocat

Cookies et données personnelles

Les cookies que vous stockez dans l’équipement terminal d’un client contiennent, par essence, des données personnelles relatives à ce client.

Sont-ils donc soumis à la réglementation informatiques et libertés et nécessitent ils le consentement préalable de la personne concernée?

Depuis l’ordonnance du 24 août 2011, il est en effet prévu l’information préalable et le recueil du consentement de l’internaute avant toute implantation d’un cookie sur son poste.

Toutefois, des exceptions existent, l’une relative aux cookies permettant ou facilitant la communication par voie électronique, l’autre relative aux cookies nécessaires à la fourniture d’un service de communication en ligne. Sont donc exclus, par exemple, selon la CNIL, les cookies permettant la gestion d’une session utilisateur ou d’un panier d’achat.

Néanmoins, la CNIL recommande pour ces exceptions que l’internaute soit informé de l’utilisation de tels cookies. Généralement, les conditions générales d’utilisation du site constituent le document approprié pour réaliser une telle information.

La CNIL à également émis son opinion sur les cookies qui permettent de mesurer l’audience d’un site internet et considère à leur égard que le consentement préalable de l’internaute n’est pas nécessaire des lors que certaines conditions sont remplies (information claire et complète, droit d’accès garanti, droit d’opposition garanti via un outil de désactivation facilement appréhendable, finalité limitée à la mesure d’audience, délai de conservation de six mois, géolocalisation limitée à la ville).

La CNIL étant très attentive aux sites de vente par internet, si vous avez un doute sur la catégorie de cookie que vous désirez mettre en œuvre sur le site de votre société et sur le régime applicable, il est recommandé de prendre le temps d’une étude approfondie!

Valérie Chazaud – Avocate