REFORME DES PROCEDURES DE SANCTION CNIL : LES ENJEUX DES PME (publication au Journal du Management juridique)
SANCTION CNIL JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2022 :
Les procédures de sanction de la CNIL applicables depuis le 25 mai 2018 viennent d’être réformées (1) et complétées par une nouvelle procédure dite simplifiée (2), pour faire face à la recrudescence des plaintes (14.000 en 2021) et pour adapter les sanctions aux plus petites structures et PME, dont les enjeux RGPD peuvent être moindres du fait de leur périmètre (Loi n° 2022-52 du 24 janvier 2022 et Décret d'application n° 2022-517 du 8 avril 2022).
Lire la suite :
➔ p58 Journal du Management Juridique 90
RGPD 3 ANS EN MAI 2021 : FIN DES TOLERANCES ET AUGMENTATION DES CONTROLES CNIL
Le RGPD est applicable en matière de données personnelles depuis le 25 mai 2018 en France, et plusieurs sanctions de la CNIL ont depuis été très médiatisées du fait de la notoriété des acteurs concernés comme de l’importance des amendes infligées : respectivement 100 millions et 35 millions d’euros d’amende à l’encontre de Google et Amazon, et plus « modestement » en France 400.000 euros et 250.000 euros à l’encontre de l’administrateur de biens Sergic et de la société Optical Center par exemple.
La tendance de la CNIL est toutefois désormais de se tourner également vers les TPE/PME qui représentent, en cumul, un enjeu tout aussi important que les grands groupes en matière de protection de données personnelles ; c’est pourquoi la période de tolérance triennale initialement annoncée en 2018 touche désormais à sa fin (1), et que de nouveaux textes permettant d’adapter les procédures CNIL aux plus petites structures sont en passe d’être adoptés (2).
- Fin de la période triennale de tolérance
Outre l’obligation d’auto-déclaration de registres en interne pour tous types de traitements de données personnelles, le RGPD impose de procéder à des « analyses d’impact » (art. 35 RGPD) sur les fichiers les plus sensibles et/ou présentant le plus de risques (données de santé, appartenance syndicale, données concernant des personnes vulnérables ; traitements « à grande échelle », systématiques, croisés…) afin de déterminer si les mesures prises en matière de sécurité sont adaptées à leur nécessité de protection accrue.
Or concernant cette obligation de mener des analyses d’impact, la CNIL a d’emblée annoncé, lors de l’entrée en application du RGPD en France en mai 2018, accorder dans un premier temps une période triennale de tolérance, notamment pour les opérateurs qui avaient d’ores et déjà procédé à des déclarations CNIL selon le système précédemment en vigueur.
La CNIL a également elle-même profité de cette période de tolérance pour rendre des délibérations listant des cas d’exclusion ou au contraire d’obligation d’analyses d’impact, au titre desquels doivent par exemple y être soumis des fichiers RH tels que les traitements de profils de personnes physiques à des fins de gestion des ressources humaine, ou encore ayant pour finalité de surveiller de manière constante l'activité des employés concernés.
C’est donc le 25 mai 2021 que s’achève cette période de tolérance de la CNIL relative à l’obligation de mener des analyses d’impact sur les fichiers les plus sensibles, et il est donc à prévoir une recrudescence des contrôles, d’autant plus que des adaptations procédurales sont envisagées à cet effet au niveau législatif.
- Adaptations procédurales aux petites structures
Le projet de loi 4D (différenciation, décentralisation, déconcentration et diverses mesures de simplification) adopté le 16 mars 2021 et présenté en Conseil des Ministres le 12 mai 2021, concerne essentiellement les collectivités territoriales mais prévoit également, en son article 41, une simplification de la procédure CNIL pour l’adapter aux plus petites structures et pouvoir ainsi en faciliter le contrôle ; cette procédure simplifiée peut être comparée à une procédure de référé en ce qu’elle est à la fois plus rapide mais aussi plus limitée que la procédure usuelle de la CNIL, tant dans ses conditions d’application que dans ses sanctions.
Tout d’abord concernant les conditions permettant de recourir à ce circuit court, il est prévu que « Le président de la CNIL ne peut engager les poursuites selon la procédure simplifiée que lorsque, d’une part, il estime que les mesures correctrices [limitées] constituent la réponse appropriée à la gravité des manquements constatés et, d’autre part, l’affaire ne présente pas de difficulté particulière, eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ».
Ensuite ne pourront pas, à l’issue de la procédure simplifiée, être appliquées les sanctions usuelles s'élevant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ; dans ces conditions spécifiques en effet « le montant de l’amende administrative ne peut excéder un montant total de 20 000 € et le montant de l’astreinte ne peut excéder 100 € par jour de retard à compter de la date fixée par la décision ».
Le texte doit désormais être présenté au Sénat au mois de juillet 2021 puis à l’Assemblée Nationale à l’automne suivant, pour concrétiser avant la fin du quinquennat l’engagement de l’exécutif, pris à l’issue du Grand débat national, sur cette loi 4D.
*
Nous demeurons toujours mobilisés, dans le cadre de ces évolutions juridiques, pour accompagner les clients qui en ont besoin selon audit gratuit à votre disposition pour commencer.
_____________
Julie Gringore
Interview RGPD en replay : les données personnelles au quotidien
Interview Julie Gringore France Bleu 15 février 2021
https://www.francebleu.fr/emissions/les-experts/normandie-caen/maitre-julie-gringore-avocate
Webinaire Cybersécurité et RGPD
Webinaire juridique sur la Cybersécurité réalisé par Me Julie Gringore avec l’éditeur de logiciels Mission RGPD : la Cyber-sécurité appliquée aux entreprises et à leurs données, présentant les enjeux de la sécurité informatique et juridique pour les opérateurs économiques, « y compris les micro, petites et moyennes entreprises », selon les textes applicables (cons. 13 RGPD).
Y sont abordées les incidences des nouvelles technologies et de leurs réglementations sur l’activité des entreprises, aux fins de mise en conformité juridique sur les données personnelles, d’encadrement du télétravail ou encore de réorganisation technologique aux fins de sauvegarde de la compétitivité.
https://youtu.be/UnPPi--g3vE?t=7
CYBER-SECURITE : CLE DE VOUTE DU RGPD (publication au Journal du Management juridique)
RGPD CYBERSECURITE JOURNAL MANAGEMENT
Article RGPD de Maître Julie GRINGORE paru dans le Journal du Management Juridique octobre 2020 :
La cyber-sécurité est au cœur de la réglementation européenne en matière de données personnelles depuis le 27 avril 2016, et ce dans son intitulé même : RGPD - Règlement Général sur la « Protection » des Données ; cette préoccupation concerne au premier chef les données des personnes physiques, mais la réglementation a également pour objectif de « garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises » (cons. 13 RGPD).
Ainsi une section entière du RGPD est- elle consacrée à la sécurité des données personnelles, dont l’article introductif 32.1 dispose notamment que « compte tenu... des risques » (1) le responsable du traitement met en œuvre « les mesures techniques et organisationnelles appropriées » (2).
RGPD : le temps des sanctions (publication au Journal du Management Juridique)
« Avec la réception et la transmission simultanées, ce fut la fin de la vie privée » (Georges Orwell, roman 1984) : c’est pour éviter la réalisation de ce type de prophétie que sont édictées des normes telles que le Règlement Général sur la Protection des Données européen, applicable depuis le 25 mai 2018 - ou encore quatre décennies plus tôt la loi française du 6 janvier 1978 Informatique et Libertés, toujours en vigueur même si amplement modifiée depuis, en dernier lieu précisément pour intégrer le RGPD.
Ces textes normatifs n’ont toutefois d’intérêt que s’ils sont réellement suivis d’effet ; si l’on peut à cet égard compter sur un phénomène d’opportunité que peuvent y voir les responsables de traitements de données pour communiquer sur leur mise en conformité RGPD vis-à-vis des personnes concernées (clientèle, abonnés, citoyens...), l’efficacité d’une telle réglementation se mesure également nécessairement à l’aune des sanctions qu’elle est susceptible de générer en cas de contravention.
À cet effet le spectre des sanctions prévues par le nouveau texte RGPD a été étendu (1), et leurs premières applications françaises ont d’ores et déjà été rendues par la CNIL (2).
[lire la suite en PJ] RGPD le temps des sanctions
Le Cabinet DERBY AVOCATS est au Festival CCI Caen Impulsion Business le 18.10.19 - partenariat Mission RGPD
Retrouvez-nous au salon Business le vendredi 18.10.19 de 13h30 à 16h00 :
Une intervention en partenariat avec l’éditeur de logiciels Mission RGPD pour une présentation à la fois juridique et informatique de vos nouvelles obligations en matière de données personnelles.
*