Toute l'actualité d'Altij

27.07.2021 18:23

PASSE SANITAIRE : UN ENJEU CITOYEN POUR UNE DEFENSE DES LIBERTES PUBLIQUES FONDAMENTALES

L’association DATA RING a diligenté un recours afin que le passe sanitaire puisse bénéficier du...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Les actualités d'ALTIJ
21.06.2021 12:34

RGPD : Comment sécuriser vos transferts de données ? Les nouvelles « clauses contractuelles types » expliquées

La publication par la Commission européenne de nouvelles clauses contractuelles types pour le...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Les actualités d'ALTIJ, Veille Juridique
11.06.2021 12:22

FAQ : Tout ce que vous désirez savoir à propos du BIM

À l'occassion de la présence de notre société d'avocats ALTIJ au BIM WORLD 2021, les 23 et 24 juin...


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Corporate, M&A et restructuring, Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit de la Propriété Intellectuelle, Droit des Affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les actualités d'ALTIJ, Veille Juridique
voir les archives ->
< Cybersécurité : ne négligez pas vos infrastructures et systèmes d’information.
14.09.2021 14:50 Il y a: 41 days
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Les actualités d'ALTIJ

La protection des données fait partie de la stratégie développement et de croissance des entreprises : pas de confiance sans gouvernance des données ni responsabilité


Bilan CNIL 14 septembre 2021 : Cookies, prospection, sous-traitants, e-commerce, durées de conservation 

 

  • Les campagnes de mises en demeure de la CNIL : une grande partie des acteurs concernés se mettent en conformité pour se développer et poursuivre leur croissance ;
  • Poursuite de la mise en œuvre de son plan de mise en conformité globale des acteurs économiques ;
  • Entre 2020 et 2021 la CNIL a adopté 70 mesures correctrices (mise en demeure et sanctions) en lien avec le refus des cookies.

 

Que faut -il retenir des sanctions et mises en demeures été 2021 ? En substance, quelques apports importants de ces décisions :

 

  • Les responsables de traitement doivent veiller à appliquer, en pratique, les durées de conservation prévues par leurs registres des traitements ;
  • L’exemption de recueil de consentement en matière de prospection commerciale, lorsqu’il s’agit de clients existants, ne s’applique pas s’agissant de personnes qui auraient seulement créé un compte sur un site sans avoir effectué aucun achat ;
  • L’information des personnes concernées est réaffirmée comme une obligation principale prévue par le RGPD et « une mesure centrale de protection des personnes car elle permet l’exercice des droits »[1] ;
  • La CNIL sanctionne le défaut de mise en place des contrats de sous-traitance au sens de l’article 28 du RGPD, rappelant ainsi l’importance pour les différents protagonistes, d’encadrer leurs relations contractuelles ;
  • S’agissant des cookies, la CNIL maintient ses contrôles et rappelle que le fait que des cookies viennent de partenaires n’affranchit pas l’éditeur du site internet de sa propre responsabilité en matière de règlementation cookies dans la mesure où il a la maîtrise de son site et de ses serveurs.

Comment se mettre en conformité et maintenir sa dynamique : Nos experts et avocats en protection des données vous accompagnent à la transition numérique responsable et aux leviers de croissance en résultant. Vous pouvez nous contacter via notre formulaire de contact.

 

Formez vos équipes opérationnelles découvrez nos dernières offres de formation en protection des données au plus près de la réalité pratique de votre organisme. 

 

Les sanctions de la CNIL au cours de l’été 2021

C’est tout d’abord la société BRICO PRIVE qui a été condamnée à une amende de 500 000 euros par une décision du 14 juin 2021[2], pour les faits suivants :

 

  • Manquement à l’obligation de limiter la durée de conservation des données – Étaient encore conservées les données de clients n’ayant pas passé de commande depuis 5 ans ou d’utilisateurs ne s’étant pas connectés à leur compte client depuis 5 ans, malgré des durées de conservation plus courtes ayant été fixées par la société ;
  • Manquement à l’obligation d’information des personnes – L’ensemble des éléments obligatoires n’étaient pas présents dans les différents documents transmis aux utilisateurs du site (CGV, mentions légales ou politique de conservation des données) ;
  • Manquement à l’obligation de respecter le droit à l’effacement – Lorsqu’une demande d’effacement était effectuée auprès de la société, seule une désactivation de l’accès au compte était effectuée et non une suppression de ses données personnelles ;
  • Manquement à l’obligation d’assurer la sécurité des données – Plusieurs mesures de sécurité étaient jugées insuffisantes : l’absence de mot de passe robuste pour les comptes du site Internet ou pour l’accès au logiciel de gestion de la relation client en interne, la conservation des mots de passe des salariés dans un fichier texte en clair contenu dans un ordinateur de la société et un accès partagé à la base de production en interne ;
  • Manquement à l’obligation de recueillir le consentement des personnes à des fins de prospection commerciale par courriel – Le fait d’envoyer des messages de prospection commerciale à des personnes ayant simplement créé un compte, sans procéder pour autant à un achat, et ce, sans avoir préalablement collecté leur consentement, constituait un traitement sans fondement ;
  • Manquement relatif aux cookies – Le site Internet bricoprive.com déposait automatiquement des cookies publicitaires sur le terminal des visiteurs, sans action préalable de leur part, alors que le consentement des personnes était requis.

Puis c’est la société de Groupe d’Assurance Mutuelle AG2R LA MONDIALE qui a été condamnée à une amende de 1 750 000 euros par une décision du 20 juillet 2021[3], pour les faits suivants :

 

  • Manquement à l’obligation de limiter la durée de conservation des données – Malgré la fixation théorique de durées dans un référentiel de la société, celles-ci n’étaient en pratique pas respectées.  Était donc dépassé le délai de trois ans prévus pour les prospects ou les durées maximales de conservation légales pour les clients ;
  • Manquement à l’obligation d’information des personnes – Les sous-traitants choisis pour démarcher téléphoniquement des personnes ne fournissaient pas une information complète, en ne mentionnant pas l’enregistrement des appels et la possibilité de s’y opposer ou en faisant pas référence au traitement de données et aux différents droits des personnes issus du RGPD.

Ensuite, la CNIL a condamné la société MONSANTO COMPANY, par une décision du 26 juillet 2021, à une amende de 400 000 euros, pour les faits suivants :

 

  • Manquement à l’obligation d’information des personnes – Dans la mesure où aucune exception à l’obligation d’information n’était applicable en l’espèce, toute personne ajoutée au sein du fichier de contact aux fins de lobbying devait alors avoir été informée de l’existence de ce traitement. Or, en pratique, les personnes concernées n’ont été informées qu’en 2019, lorsque le fichier a été révélé par les médias ; 
  • Manquement à l’obligation d’encadrer les traitements effectués pour le compte du responsable de traitement par un acte juridique formalisé – Quant à ses échanges de données avec un sous-traitant, la société n’avait pas encadré la relation de sous-traitance avec un contrat contenant les mentions obligatoires de l’article 28 du RGPD.

Enfin, la société du FIGARO a été condamné à une amende d’un montant de 50 000 euros, pour plusieurs manquements relatifs aux cookies utilisés sur le site lefigaro.fr :

 

  • Manquement à l’obligation de recueillir le consentement des personnes avant le dépôt de cookies – La CNIL avait constaté à plusieurs reprises que les mécanismes mis en place sur le site Internet ne permettait pas d’empêcher le dépôt de cookies dès l’arrivée sur le site ;
  • Manquement à l’obligation de respect du refus au dépôt de cookies – Les mécanismes mis en place ne permettaient pas non plus de refuser le dépôt de cookies une fois que ceux-ci avaient été déposés.

Attention quant aux cookies, en plus des sanctions, la CNIL continue sa campagne de contrôle des sites Internet et a mis en demeure de nombreux responsables de traitement afin que ces derniers proposent des sites Internet conformes (fonctionnement technique des cookies, effectivité du bandeau cookies, information des visiteurs…).

Quant à toutes ces questions, nous pouvons vous accompagner (diagnostic de votre conformité générale ou de celle de votre site Internet), mais également vous former afin que vous réalisiez vous-même vos actions de conformité (formation générale ou dédiée au marketing).

 

Les sanctions marquantes des autres autorités de contrôle européennes

Sont également à noter deux décisions importantes au cours de cet été, condamnant les géants américains du web à de fortes amendes.

 

Au Luxembourg, c’est la Commission Nationale pour la Protection des Données qui a condamné, le 16 juillet 2021, la société Amazon Europe Core à une amende de 746 millions d’euros pour le ciblage à des fins publicitaires sans base légale. Cette amende fait suite à la plainte collective qui avait été adressée à la CNIL par l’association française la Quadrature du Net (LQDN). La décision n’étant pas encore publique, nous ne manquerons pas de revenir vers vous une fois que celle-ci aura été publiée.

 

En Irlande, c’est la Data Protection Commission (DPC) qui a condamné la société WhatsApp Ireland, le 28 juillet 2021, à une amende de 225 millions d’euros pour le manque de transparence de l’information fournie aux utilisateurs. Le parcours de cette décision a été des plus complexes, la première décision prévue par la DPC avait été jugée insuffisante par d’autres autorités de contrôle européennes, ce qui avait nécessité la mise en place du mécanisme de règlement des litiges au sein du Comité européen de la protection des données.

 

En savoir plus :

 

 

 

[1] Délibération de la formation restreinte n°SAN-2021-012 du 26 juillet 2021 concernant la société MONSANTO COMPANY

[2] Délibération de la formation restreinte n°SAN-2021-008 du 14 juin 2021 concernant la société BRICO PRIVÉ.

[3] Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R LA MONDIALE.