webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Bilan de l’année 2020 en protection des données personnelles

Amira BOUNEDJOUM revient sur les principaux faits marquants de l'année 2020 en matière de protection des données personnelles, et annonce les différentes actions à l'ordre du jour du planning de la conformité 2021.



Quelles sont les principaux faits marquants de l’année 2020 en matière de protection de données personnelles ?

L’année 2020 a été très marquée par la crise sanitaire. Pour faire face à cette crise, les traitements de données à caractère personnel portant notamment sur des données sensibles se sont multipliés. Nous avons également assisté à une généralisation du télétravail qui a dû se faire dans des conditions précipitées et pas toujours assorties de garanties de sécurité.

Cette période a, par ailleurs, été marquée par une très forte augmentation d’opérations d’attaques informatiques concernant aussi bien des cybermarchands que des institutions. Les objectifs poursuivis par les cyberattaquants sont multiples et variés : détournement de fonds, demande de rançons, espionnage industriel, etc. Parmi les dernières attaques informatiques de grande importance, nous pouvons citer celles qui ont ciblé l’Agence Européenne du Médicament et le groupe pharmaceutique Fareva. 

La seconde partie de l’année 2020 a, quant à elle, été marquée par la publication tardive et tant attendue des délibérations de la CNIL relatives aux cookies. A ce titre, deux délibérations ont ainsi été publiées, l’une posant le cadre juridique applicable aux cookies, et l’autre déterminant les recommandations pratiques de la
CNIL pour se mettre en conformité aux nouvelles règles.

En juillet 2020, la Cour de justice de l’Union européenne a rendu une décision aux impacts importants puisqu’elle a invalidé les accords du Privacy Shield, accord permettant les transferts de données vers les États-Unis.

Enfin de nombreuses délibérations de la CNIL ont marqué la fin d’année 2020. La formation restreinte de la CNIL a ainsi sanctionné plusieurs opérateurs de manière assez inédite puisque les montants sont très importants et concernent des géants du numériques mais également des enseignes et des indépendants.

Pour ne citer que quelques exemples, la chaîne hôtelière Mariott a été sanctionnée à hauteur de 20 millions d’euros par l’autorité de contrôle britannique en coopération avec la CNIL pour des manquements à son obligation de sécurité. Carrefour France a été sanctionné à plus de 2 millions d’euros et Carrefour Banque a écopé d’une amende atteignant presque 1 million d’euros pour des manquements au RGPD concernant notamment l’information des personnes et le respect de leurs droits. La société Amazon quant à elle, s’est vu infligée une amende de 35 millions d’euros pour défaut de consentement préalable à l’installation de cookies publicitaires.

De manière plus inattendue, 2 médecins libéraux exerçant en cabinet individuel ont été sanctionnés. Le montant de leur amende est moins spectaculaire puisqu’ils ont été respectivement sanctionnés à hauteur de 3.000 et 6.000 euros d’amende. Néanmoins, si ces montants semblent moins dissuasifs, rapportés à l’échelle de leur chiffre d’affaires ils représentent plus de 3 et 6 % du chiffre d’affaires de ces médecins.

Que faut-il retenir de ces faits marquants ?

On retiendra tout d’abord de l’année 2020 que les situations au contexte exceptionnel ne sont assorties d’aucune dérogation en matière de protection des données. Pire, les climats particulièrement tendus et propices à la vulnérabilité de la sécurité des données doivent conduire à adopter une démarche toujours plus soucieuse du RGPD même lorsque cela ne paraît pas être la priorité ou qu’il existe de fait des urgences à traiter.

On retiendra ensuite que la CNIL multiplie ses contrôles et durcit sensiblement ses sanctions. Après avoir consacré une grande partie de son activité à l’accompagnement des entreprises pour les aider à comprendre le RGPD et à respecter leurs obligations depuis 2016, la CNIL consacre désormais davantage d’énergie à contrôler avec sévérité le suivi de ses préconisations.

Enfin, on retiendra que toutes les entreprises sont concernées quels que soit leur taille ou leur secteur d’activité et que personne n’est à l’abri d’une sanction. 

Quel plan d’action pour 2021 ?

Plusieurs actions devraient être à l’ordre du jour du planning de la conformité 2021.

La conformité des sites internet au regard des délibérations relatives aux cookies est un premier point.

Les délibérations de la CNIL à ce sujet ont été publiées en septembre dernier et la CNIL a octroyé un délai de 6 mois pour s’y conformer qui prendra fin en mars 2020.

La mise à niveau des mesures de sécurité est une autre priorité, les sanctions prononcées à la suite de notifications de violation de données témoignent du fait que l’instruction dès notification de violation de données est aussi l’occasion de contrôler le RGPD au sein des entités ayant subi la violation. Les compétences et expertises techniques de la CNIL ne doivent pas être sous-estimées, les agents de contrôles sont parfaitement compétents pour réaliser des investigations particulièrement poussées pour vérifier les mesures de sécurité mises en place, les contrôler et les challenger. 

L’encadrement des transferts, particulièrement vers les États-Unis doit également être poursuivi en 2021.

Enfin, une véritable réflexion sur les modalités d’information des personnes concernées par des traitements doit être menée. Cette obligation ne doit pas être prise à la légère et il ne suffit pas d’adopter des politiques de confidentialité ou des mentions d’information type. La CNIL sanctionne notamment le manque d’accessibilité à l’information et le manque de clarté.

VOIR AUSSI

La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Délibération n°2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Délibération n°2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

- Vu : 2068

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.

> Lire la suite

Le droit des sociétés plus fort que la protection des données personnelles ?

CJUE, 9 mars 2017, affaire n°C 398/15

- Vu : 1395

L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 8765
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 7797
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6261
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5764
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©