INTERVIEW CYBERCRIMINALITE (JULIE GRINGORE / ACTUS DES BARREAUX AVRIL 2023)
Retrouvez notre interview sur la cybercriminalité publiée dans la revue Actus Des Barreaux avril 2023
Téléchargement : Actus Des Barreaux avril 2023
Cybercriminalité : conférence à la maison de l'Avocat
Retrouvez les slides de notre conférence sur la cybercriminalité présentée à la maison de l'Avocat Caen le 16 septembre 2022 (Me Julie Gringore).
Téléchargement : Conférence cybercriminalité
« Numérique au travail : droits et obligations » Festival des entrepreneurs CCI 2023
Retrouvez les slides de notre conférence « Numérique au travail : droits et obligations » présentée à l’occasion du Festival des entrepreneurs CCI 2023 (Me Julie Gringore & Me Elise Delaunay).
Téléchargement : Présentation Festival des entrepreneurs 2023 - partenaires
REFORME DES PROCEDURES DE SANCTION CNIL : LES ENJEUX DES PME (publication au Journal du Management juridique)
SANCTION CNIL JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2022 :
Les procédures de sanction de la CNIL applicables depuis le 25 mai 2018 viennent d’être réformées (1) et complétées par une nouvelle procédure dite simplifiée (2), pour faire face à la recrudescence des plaintes (14.000 en 2021) et pour adapter les sanctions aux plus petites structures et PME, dont les enjeux RGPD peuvent être moindres du fait de leur périmètre (Loi n° 2022-52 du 24 janvier 2022 et Décret d'application n° 2022-517 du 8 avril 2022).
Lire la suite :
➔ p58 Journal du Management Juridique 90
RGPD 3 ANS EN MAI 2021 : FIN DES TOLERANCES ET AUGMENTATION DES CONTROLES CNIL
Le RGPD est applicable en matière de données personnelles depuis le 25 mai 2018 en France, et plusieurs sanctions de la CNIL ont depuis été très médiatisées du fait de la notoriété des acteurs concernés comme de l’importance des amendes infligées : respectivement 100 millions et 35 millions d’euros d’amende à l’encontre de Google et Amazon, et plus « modestement » en France 400.000 euros et 250.000 euros à l’encontre de l’administrateur de biens Sergic et de la société Optical Center par exemple.
La tendance de la CNIL est toutefois désormais de se tourner également vers les TPE/PME qui représentent, en cumul, un enjeu tout aussi important que les grands groupes en matière de protection de données personnelles ; c’est pourquoi la période de tolérance triennale initialement annoncée en 2018 touche désormais à sa fin (1), et que de nouveaux textes permettant d’adapter les procédures CNIL aux plus petites structures sont en passe d’être adoptés (2).
- Fin de la période triennale de tolérance
Outre l’obligation d’auto-déclaration de registres en interne pour tous types de traitements de données personnelles, le RGPD impose de procéder à des « analyses d’impact » (art. 35 RGPD) sur les fichiers les plus sensibles et/ou présentant le plus de risques (données de santé, appartenance syndicale, données concernant des personnes vulnérables ; traitements « à grande échelle », systématiques, croisés…) afin de déterminer si les mesures prises en matière de sécurité sont adaptées à leur nécessité de protection accrue.
Or concernant cette obligation de mener des analyses d’impact, la CNIL a d’emblée annoncé, lors de l’entrée en application du RGPD en France en mai 2018, accorder dans un premier temps une période triennale de tolérance, notamment pour les opérateurs qui avaient d’ores et déjà procédé à des déclarations CNIL selon le système précédemment en vigueur.
La CNIL a également elle-même profité de cette période de tolérance pour rendre des délibérations listant des cas d’exclusion ou au contraire d’obligation d’analyses d’impact, au titre desquels doivent par exemple y être soumis des fichiers RH tels que les traitements de profils de personnes physiques à des fins de gestion des ressources humaine, ou encore ayant pour finalité de surveiller de manière constante l'activité des employés concernés.
C’est donc le 25 mai 2021 que s’achève cette période de tolérance de la CNIL relative à l’obligation de mener des analyses d’impact sur les fichiers les plus sensibles, et il est donc à prévoir une recrudescence des contrôles, d’autant plus que des adaptations procédurales sont envisagées à cet effet au niveau législatif.
- Adaptations procédurales aux petites structures
Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification) adopté le 16 mars 2021 et présenté en Conseil des Ministres le 12 mai 2021, concerne essentiellement les collectivités territoriales mais prévoit également, en son article 41, une simplification de la procédure CNIL pour l’adapter aux plus petites structures et pouvoir ainsi en faciliter le contrôle ; cette procédure simplifiée peut être comparée à une procédure de référé en ce qu’elle est à la fois plus rapide mais aussi plus limitée que la procédure usuelle de la CNIL, tant dans ses conditions d’application que dans ses sanctions.
Tout d’abord concernant les conditions permettant de recourir à ce circuit court, il est prévu que « Le président de la CNIL ne peut engager les poursuites selon la procédure simplifiée que lorsque, d’une part, il estime que les mesures correctrices [limitées] constituent la réponse appropriée à la gravité des manquements constatés et, d’autre part, l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ».
Ensuite ne pourront pas, à l’issue de la procédure simplifiée, être appliquées les sanctions usuelles s'élevant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ; dans ces conditions spécifiques en effet « le montant de l’amende administrative ne peut excéder un montant total de 20 000 € et le montant de l’astreinte ne peut excéder 100 € par jour de retard à compter de la date fixée par la décision ».
Le texte doit désormais être présenté au Sénat au mois de juillet 2021 puis à l’Assemblée Nationale à l’automne suivant, pour concrétiser avant la fin du quinquennat l’engagement de l’exécutif, pris à l’issue du Grand débat national, sur cette loi 4D.
*
Nous demeurons toujours mobilisés, dans le cadre de ces évolutions juridiques, pour accompagner les clients qui en ont besoin selon audit gratuit à votre disposition pour commencer.
_____________
Julie Gringore
Interview RGPD en replay : les données personnelles au quotidien
Interview Julie Gringore France Bleu 15 février 2021
https://www.francebleu.fr/emissions/les-experts/normandie-caen/maitre-julie-gringore-avocate
Webinaire Cybersécurité et RGPD
Webinaire juridique sur la Cybersécurité réalisé par Me Julie Gringore avec l’éditeur de logiciels Mission RGPD : la Cyber-sécurité appliquée aux entreprises et à leurs données, présentant les enjeux de la sécurité informatique et juridique pour les opérateurs économiques, « y compris les micro, petites et moyennes entreprises », selon les textes applicables (cons. 13 RGPD).
Y sont abordées les incidences des nouvelles technologies et de leurs réglementations sur l’activité des entreprises, aux fins de mise en conformité juridique sur les données personnelles, d’encadrement du télétravail ou encore de réorganisation technologique aux fins de sauvegarde de la compétitivité.
https://youtu.be/UnPPi--g3vE?t=7