REFORME DES PROCEDURES DE SANCTION CNIL : LES ENJEUX DES PME (publication au Journal du Management juridique)
SANCTION CNIL JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2022 :
Les procédures de sanction de la CNIL applicables depuis le 25 mai 2018 viennent d’être réformées (1) et complétées par une nouvelle procédure dite simplifiée (2), pour faire face à la recrudescence des plaintes (14.000 en 2021) et pour adapter les sanctions aux plus petites structures et PME, dont les enjeux RGPD peuvent être moindres du fait de leur périmètre (Loi n° 2022-52 du 24 janvier 2022 et Décret d'application n° 2022-517 du 8 avril 2022).
Lire la suite :
➔ p58 Journal du Management Juridique 90
E-salarié : données personnelles et télétravail
Article de Maître Julie GRINGORE paru au Journal du Management juridique septembre-octobre 2021
La digitalisation du régime juridique du salarié, qui était d'ores et déjà engagée depuis la loi modernisation du droit du travail du 8 août 2016, s'est encore accélérée en 2018 avec l'entrée en vigueur en France du RGPD puis en 2020 du fait de la crise sanitaire qui a généralisé la mise en place du télétravail.
Lire la suite :
Couverture Journal du Management 84
E-salarié : données personnelles et télétravail
RGPD 3 ANS EN MAI 2021 : FIN DES TOLERANCES ET AUGMENTATION DES CONTROLES CNIL
Le RGPD est applicable en matière de données personnelles depuis le 25 mai 2018 en France, et plusieurs sanctions de la CNIL ont depuis été très médiatisées du fait de la notoriété des acteurs concernés comme de l’importance des amendes infligées : respectivement 100 millions et 35 millions d’euros d’amende à l’encontre de Google et Amazon, et plus « modestement » en France 400.000 euros et 250.000 euros à l’encontre de l’administrateur de biens Sergic et de la société Optical Center par exemple.
La tendance de la CNIL est toutefois désormais de se tourner également vers les TPE/PME qui représentent, en cumul, un enjeu tout aussi important que les grands groupes en matière de protection de données personnelles ; c’est pourquoi la période de tolérance triennale initialement annoncée en 2018 touche désormais à sa fin (1), et que de nouveaux textes permettant d’adapter les procédures CNIL aux plus petites structures sont en passe d’être adoptés (2).
- Fin de la période triennale de tolérance
Outre l’obligation d’auto-déclaration de registres en interne pour tous types de traitements de données personnelles, le RGPD impose de procéder à des « analyses d’impact » (art. 35 RGPD) sur les fichiers les plus sensibles et/ou présentant le plus de risques (données de santé, appartenance syndicale, données concernant des personnes vulnérables ; traitements « à grande échelle », systématiques, croisés…) afin de déterminer si les mesures prises en matière de sécurité sont adaptées à leur nécessité de protection accrue.
Or concernant cette obligation de mener des analyses d’impact, la CNIL a d’emblée annoncé, lors de l’entrée en application du RGPD en France en mai 2018, accorder dans un premier temps une période triennale de tolérance, notamment pour les opérateurs qui avaient d’ores et déjà procédé à des déclarations CNIL selon le système précédemment en vigueur.
La CNIL a également elle-même profité de cette période de tolérance pour rendre des délibérations listant des cas d’exclusion ou au contraire d’obligation d’analyses d’impact, au titre desquels doivent par exemple y être soumis des fichiers RH tels que les traitements de profils de personnes physiques à des fins de gestion des ressources humaine, ou encore ayant pour finalité de surveiller de manière constante l'activité des employés concernés.
C’est donc le 25 mai 2021 que s’achève cette période de tolérance de la CNIL relative à l’obligation de mener des analyses d’impact sur les fichiers les plus sensibles, et il est donc à prévoir une recrudescence des contrôles, d’autant plus que des adaptations procédurales sont envisagées à cet effet au niveau législatif.
- Adaptations procédurales aux petites structures
Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification) adopté le 16 mars 2021 et présenté en Conseil des Ministres le 12 mai 2021, concerne essentiellement les collectivités territoriales mais prévoit également, en son article 41, une simplification de la procédure CNIL pour l’adapter aux plus petites structures et pouvoir ainsi en faciliter le contrôle ; cette procédure simplifiée peut être comparée à une procédure de référé en ce qu’elle est à la fois plus rapide mais aussi plus limitée que la procédure usuelle de la CNIL, tant dans ses conditions d’application que dans ses sanctions.
Tout d’abord concernant les conditions permettant de recourir à ce circuit court, il est prévu que « Le président de la CNIL ne peut engager les poursuites selon la procédure simplifiée que lorsque, d’une part, il estime que les mesures correctrices [limitées] constituent la réponse appropriée à la gravité des manquements constatés et, d’autre part, l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ».
Ensuite ne pourront pas, à l’issue de la procédure simplifiée, être appliquées les sanctions usuelles s'élevant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ; dans ces conditions spécifiques en effet « le montant de l’amende administrative ne peut excéder un montant total de 20 000 € et le montant de l’astreinte ne peut excéder 100 € par jour de retard à compter de la date fixée par la décision ».
Le texte doit désormais être présenté au Sénat au mois de juillet 2021 puis à l’Assemblée Nationale à l’automne suivant, pour concrétiser avant la fin du quinquennat l’engagement de l’exécutif, pris à l’issue du Grand débat national, sur cette loi 4D.
*
Nous demeurons toujours mobilisés, dans le cadre de ces évolutions juridiques, pour accompagner les clients qui en ont besoin selon audit gratuit à votre disposition pour commencer.
_____________
Julie Gringore
SITE E-COMMERCE : CONCURRENCE REGLEMENTEE ET DISTRIBUTION SECURISEE
Article e-commerce de Maître Julie GRINGORE paru au Journal du Management juridique février 2021
Si acheter en ligne était déjà une pratique courante pour 40 millions de français en 2019, la crise sanitaire liée à la pandémie de Covid a amené les enseignes à créer ou développer plus encore leurs sites Internet dans une optique marchande ; en effet les statistiques publiées par la FEVAD le 8 décembre 2020 faisaient état, pour les trois premiers trimestres, « d’une augmentation du canal web des magasins 3 fois plus importante que pour la même période en 2019 ».
L’urgence dans laquelle de nombreux sites marchands sont ainsi apparus en quelques mois ne doit toutefois pas faire oublier que le droit de la concurrence est tout autant applicable à la sphère numérique qu’aux ventes en magasin et que la distribution dématérialisée se doit d’être sécurisée pour inspirer suffisamment confiance aux acheteurs.
Lire la suite :
➔ p22 Journal du Management Juridique 80
➔ couv Journal du Management Juridique 80
Interview RGPD en replay : les données personnelles au quotidien
Interview Julie Gringore France Bleu 15 février 2021
https://www.francebleu.fr/emissions/les-experts/normandie-caen/maitre-julie-gringore-avocate
Webinaire Cybersécurité et RGPD
Webinaire juridique sur la Cybersécurité réalisé par Me Julie Gringore avec l’éditeur de logiciels Mission RGPD : la Cyber-sécurité appliquée aux entreprises et à leurs données, présentant les enjeux de la sécurité informatique et juridique pour les opérateurs économiques, « y compris les micro, petites et moyennes entreprises », selon les textes applicables (cons. 13 RGPD).
Y sont abordées les incidences des nouvelles technologies et de leurs réglementations sur l’activité des entreprises, aux fins de mise en conformité juridique sur les données personnelles, d’encadrement du télétravail ou encore de réorganisation technologique aux fins de sauvegarde de la compétitivité.
https://youtu.be/UnPPi--g3vE?t=7
CYBER-SECURITE : CLE DE VOUTE DU RGPD (publication au Journal du Management juridique)
RGPD CYBERSECURITE JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2020 :
La cyber-sécurité est au cœur de la réglementation européenne en matière de données personnelles depuis le 27 avril 2016, et ce dans son intitulé même : RGPD - Règlement Général sur la « Protection » des Données ; cette préoccupation concerne au premier chef les données des personnes physiques, mais la réglementation a également pour objectif de « garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises » (cons. 13 RGPD).
Ainsi une section entière du RGPD est- elle consacrée à la sécurité des données personnelles, dont l’article introductif 32.1 dispose notamment que « compte tenu... des risques » (1) le responsable du traitement met en œuvre « les mesures techniques et organisationnelles appropriées » (2).