Une année de RGPD

Paris, le 23 juillet 2019 – Le RGPD est entré en application depuis un an. De nombreuses entreprises ont entamé des démarches de mise en conformité.

La CNIL a rendu quelques décisions notables, sanctionnant principalement le non- respect de principes clefs (existants sous l’ancienne loi Informatique et Libertés).

La CNIL poursuit son travail de contrôle du respect des principes de ces textes et annonce parallèlement un nouveau texte concernant les cookies.

Le 25 mai 2019 a marqué l’anniversaire de l’entrée en application du RGPD.

Les principes et le contenu du RGPD sont maintenant connus, principalement :

• confirmation des principes clefs et des conditions de licéité des traitements ;
• renforcement des droits des personnes et des obligations des entreprises et organismes amenés à traiter des données personnelles
• renforcement significatif des sanctions (amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial).

Pour plus d’informations, lien vers notre article du 25 mai 2018

Quelques décisions remarquées

Depuis mai 2018, la CNIL, autorité française en charge de la régulation et du contrôle des traitements de données à caractère personnel, a rendu un certain nombre de décisions de mise en demeure ou de sanction. La plupart de ces décisions ont été encore rendues sous l’égide et les principes de la loi Informatique et Libertés.

Parmi les décisions notables, on peut noter que les manquements aux obligations de sécurité des données ont été particulièrement sanctionnés (notamment Uber : amende de 400 000 €, Optical Center : amende de 250 000 € ramenée à 200 000 € par le Conseil d’Etat, SERGIC : amende de 400 000 €).

Le non-respect ou le détournement des finalités pour lesquelles les données avaient été collectées ont aussi fait l’objet de décisions (décision OPH de Rennes : amende 30 000 €, mise en demeure de Humanis et Malakoff-Médéric de cesser de traiter à des fins de prospection commerciale des données initialement collectées pour une mission de mise en œuvre des régimes de retraite complémentaire).

La décision, prise en application du RGPD, infligeant à Google une amende de 50 millions d’euros sanctionne les manquements de Google concernant :

• l’obligation d’information des utilisateurs : information relative aux traitements effectués par Google et,

• les conditions d’obtention du consentement des personnes.

Au-delà de la sanction, cette décision est instructive pour la rédaction de ces deux types de documents (notamment sur ce qu’il ne faut pas faire). Elle contient en effet une analyse détaillée des conditions d’obtention du consentement et de l’information destinée aux personnes (notamment la granularité de l’information, son accessibilité, et son caractère compréhensible).

Une première année marquée par une forte activité de mise en conformité

Pour la plupart des entreprises, cette première année a été marquée par une activité intense de mise en conformité, et des investissements importants ont été réalisés, notamment pour les sociétés prestataires informatiques ou de services numériques.

Du point de vue contractuel, les discussions entre les clients et leurs prestataires ont essentiellement porté sur l’aménagement des contrats (ou l’établissement de nouveaux contrats) pour prendre en compte les prescriptions du RGPD et, en particulier son article 28.

Il est d’ailleurs à noter que la répartition des responsabilités entre responsable de traitements et sous-traitants fait partie de la stratégie de contrôle de la CNIL pour 2019-2020 (voir § ci-après).

Quelle stratégie de contrôle de la CNIL pour 2019-2020 ?

La CNIL a profité de cet anniversaire pour communiquer sa stratégie de contrôle pour l’année à venir. Elle souhaite concentrer son contrôle autour de trois thématiques :

• le respect du droit des personnes : information, droits d’accès, de rectification, d’effacement, droit à la limitation des traitements, droit d’opposition, droit à la portabilité des données ;

• le traitement des droits des mineurs, notamment concernant la publication de contenus sur les réseaux sociaux pour lesquels la CNIL reçoit des plaintes ;

• la répartition des responsabilités entre responsables de traitement et sous-traitants, notamment l’existence et le respect du contrat de sous-traitance.

En parallèle, la CNIL continuera à accompagner les professionnels dans l’application du RGPD et contrôler le respect de leurs obligations.

Cookies et ciblage publicitaire : une année de transition

Enfin, la CNIL a placé la question du ciblage publicitaire en ligne dans son plan d’actions 2019-2020, sujet qui recouvre les points suivants :

• les problématiques relatives à la prospection commerciale (ou « opt-in partenaire »

• les cookies et autres traceurs.

La CNIL a annoncé, pour juillet 2019, la publication de nouvelles lignes directrices. La recommandation « cookies » de 2013 – qui permettait le recueil du consentement par la simple poursuite de la navigation – sera donc abrogée.

Ces nouvelles lignes directrices préciseront en particulier les conditions de recueil du consentement.

Une période transitoire de 12 mois sera laissée aux entreprises pour l’application par ces dernières des nouveaux principes.

Une nouvelle recommandation, élaborée en concertation avec les professionnels d’ici à décembre 2019 – début 2020, proposera des modalités opérationnelles de recueil du consentement.

La CNIL vérifiera le respect de cette recommandation finale 6 mois après son adoption définitive.

Un an après l’entrée en application du RGPD, l’environnement législatif se stabilise progressivement.

La phase de mise en application s’est achevée, la CNIL annonce désormais une démarche vigilante de contrôle du respect du RGPD. Si ce n’est déjà fait, les différents acteurs concernés, entreprises, organismes publics et associations, doivent impérativement prendre le sujet à bras le corps.

Toutes les équipes REGIMBEAU sont là pour vous accompagner et vous conseiller pour mettre en place des solutions juridiques et techniques afin de protéger et sécuriser vos traitements de données conformément aux nouvelles règles issues du RGPD.