webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Un an après le RGPD, où en sommes-nous ?

La CNIL annonce une explosion du nombre de plaintes. Plus de 1 000 procédures nécessitent la coopération entre les autorités européennes et l’implication de plusieurs CNIL européennes. Près de 20 000 délégués à la protection des données ont été désignés par plus de 53 000 organismes. Un an après l’entrée en application du RGPD, où en sommes-nous vraiment ?



1. Du côté des personnes concernées

Le RGPD a bénéficié d’une exposition médiatique exceptionnelle. À ce titre, les citoyens français et européens ont enfin pris conscience des droits qu’ils détenaient au regard de la protection de leurs données personnelles (que le RGPD a renforcée).

Cette prise de conscience a conduit, comme l’a affirmé la CNIL, au dépôt de plusieurs milliers de plaintes mais également d’un nombre croissant de demandes d’exercice de droits d’accès.

Beaucoup d’organismes ont en effet reçu plus de demandes de droit d’accès en un an qu’ils n’en avaient jamais reçus.

Peu habitués à cet exercice, certains n’ont pas su comment faire face à ces demandes et comment y répondre et ce, d’autant plus que les personnes concernées ont par moment formulé leurs demandes en des termes très (voire trop) généraux créant ainsi la panique au sein des organismes.

Parallèlement aux demandes exercées directement par les personnes concernées, de nouvelles entités ont vu le jour depuis l’entrée en application du RGPD et proposent aux personnes concernées de devenir leur mandataire pour l’exercice de leurs droits. Ainsi, ces sociétés spécialisées proposent aux personnes concernées, en quelques clics seulement, de générer et d’envoyer en leur nom et pour leur compte des dizaines voire des centaines de demandes de droits d’accès auprès de milliers d’organismes.

Du côté des dépôts de plaintes auprès de la CNIL, de nouveaux acteurs sont apparus. Pendant longtemps, les plaintes étaient majoritairement initiées par des personnes concernées ainsi que par des syndicats. 

Dorénavant, un nombre croissant d’acteurs spécialisés dans la cybersécurité dénonce des manquements à l’obligation de sécurité de la part d’éditeurs de sites internet. Suite à ces dénonciations, plusieurs contrôles ont été diligentés par la CNIL et ont notamment donné lieu à des sanctions.

2. Du côté des organismes

Nous notons que grand nombre d’organismes ont entamé leurs démarches de mise en conformité mais tous ne les ont pas achevées.

Parmi les actions d’ores et déjà réalisées, les organismes responsables de traitement et sous-traitants ont massivement construit un registre de leurs activités de traitement.

Des délégués à la protection des données ont été désignés et des fonctions similaires ont été créées au sein des organismes qui ne sont pas soumis à l’obligation d’en désigner un.

La gestion des cookies sur les sites Internet a également préoccupé beaucoup d’acteurs qui dorénavant proposent un mécanisme de paramétrage directement depuis le site internet sans passer par le navigateur.

Pour autant, la mise en conformité des sites internet n’est pas totalement achevée dans la mesure où beaucoup se sont concentrés sur la rédaction ou la révision d’une politique de confidentialité sans se soucier ni des mentions obligatoires à faire apparaître sur les formulaires de collecte disponibles sur le site internet, ni de la licéité de leurs formulaires (notamment en vérifiant la pertinence des données collectées), ni les mesures de sécurité attachées aux sites.

Par ailleurs, les durées de conservation restent un sujet majeur qui n’a pas encore été totalement traité.

Enfin, nous notons que l’encadrement des relations avec les sous-traitants est particulièrement sensible. En effet, nous constatons l’émergence de deux tendances extrêmes.

La première concerne la difficulté que rencontrent les responsables de traitement à imposer à leurs sous-traitants historiques des avenants tenant compte des dispositions du RGPD et particulièrement du nouveau régime de responsabilité de ces derniers.

De plus, alors que le RGPD prévoit en son article 28 des clauses obligatoires au contrat entre responsable de traitement et sous-traitant, beaucoup de responsables de traitement rencontrent des difficultés à faire admettre des modifications aux contrats types de leurs sous-traitants qui bien souvent ne prévoient dans leur schéma contractuel que l’acceptation de CGV et d’un bon de commande. 

L’autre extrême concerne les obligations particulièrement renforcées que certains responsables de traitement tentent de faire accepter sans distinction à l’ensemble des prestataires qui, dans les faits, ne sont pas matériellement en mesure d’offrir un niveau aussi élevé de garantie. 

Si la rédaction de contrat type peut s’avérer utile, il reste néanmoins indispensable de prévoir des adaptations selon le type de prestataire, les missions qui lui sont confiées et les données personnelles qu’il traite.

Un juste équilibre doit nécessairement être trouvé d’autant plus que la vérification des relations contractuelles est au cœur du programme des contrôles de cette année de la CNIL.

3. Du côté de la CNIL

La Commission a adopté une approche en plusieurs temps.

Dans un premier temps, la CNIL s’est attelée à guider les différents acteurs dans les changements à intervenir. Ainsi pour les aider, plusieurs publications ont été réalisées, notamment la rédaction de guides et de méthodologies.

Elle a pendant ce temps privilégié la pédagogie et l’accompagnement des acteurs, annonçant même offrir une année de clémence durant ses contrôles.

A présent, maintenant que l’année de la tolérance a pris fin, la CNIL semble afficher une posture plus intransigeante. D’ailleurs, les premières sanctions sur le fondement du RGPD ont été prononcées.

Non seulement les montants sont plus élevés, mais surtout les impacts s’avèrent être plus impressionnants.

En effet, alors que beaucoup pensaient que des sanctions importantes n’allaient pas être prononcées ou qu’elles n’allaient concerner que les géants du numérique, les dernières décisions détruisent cette croyance. En effet, alors que CERGIC, spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière a été sanctionnée à hauteur de 400 000 € pour atteinte à la sécurité des données et non-respect des durées de conservation, de manière inédite, une TPE de 9 salariés seulement a été condamnée au paiement d’une amende de plus de 2,5 % de son chiffre d’affaires alors même qu’elle était déficitaire.

Cette nouvelle posture de la CNIL semble néanmoins relative concernant le domaine du ciblage publicitaire puisque la Commission vient d’annoncer une nouvelle période transitoire d’une année supplémentaire, le temps pour elle de produire de nouvelles lignes directrices à partir de 2020.

Cette nouvelle prise de position a néanmoins suscité la colère de la Quadrature du net qui a annoncé un futur recours devant le Conseil d’Etat.

Affaire donc à suivre…

A rapprocher : La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact ; La mise en conformité avec le RGPD des PME ; Mission RGPD

VOIR AUSSI

Attention aux systèmes de vidéosurveillance, la CNIL s’en préoccupe particulièrement

Conseils pratiques

- Vu : 808

La CNIL est depuis l’année dernière particulièrement vigilante et soucieuse quant à la conformité des dispositifs de vidéosurveillance sur le lieu de travail et a ainsi multiplié les contrôles, mises en demeures et sanctions.

> Lire la suite

Du nouveau pour l'action de groupe en matière de données à caractère personnel

Loi n°2016–1547 du 18 novembre 2016

- Vu : 1003

La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6232
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 5464
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4546
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 3421
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©