avenant-rgpd

Comment mettre mes contrats en conformité avec le RGPD ?


L’une des obligations principales du Règlement Général sur la Protection des Données est d’encadrer les relations entre responsables de traitement et sous-traitants, si des données personnelles sont transférées entre ceux-ci.

Il est donc nécessaire de faire un audit des contrats existants, pour s’assurer que les clauses adéquates y figurent.

A défaut, un avenant doit être signé pour les y intégrer. Nous pouvons vous assister pour vérifier votre conformité au RGPD et pour rédiger ou négocier les avenants à vos contrats en cas de besoin.

Il existe des spécificités en cas de transfert de données personnelles hors de l’Union Européenne.


Quelles sont les clauses qui doivent y figurer au sein de mon avenant RGPD ?


L’Article 28 du RGPD indique les mentions qui doivent obligatoirement figurer dans tous les contrats entre les responsables de traitement et les sous-traitants :

  • L’obligation du sous-traitant de se conformer aux instructions du responsable de traitement, et l’interdiction de traiter les données en l’absence d’instructions.
  • L’obligation de respecter la confidentialité.
  • Le détail des mesures de sécurité à mettre en œuvre.
  • Les conditions pour faire appel à un sous-traitant ultérieur.
  • L’assistance à fournir par le sous-traitant au responsable de traitement, en cas de demande d’exercice de ses droits par une personne physique.
  • L’assistance apportée par le sous-traitant au responsable de traitement pour respecter ses obligations au titre du RGPD.
  • L’obligation de suppression ou de renvoi des données personnelles.
  • La fourniture de toutes les informations utiles au responsable de traitement par le sous-traitant.

Il est donc nécessaire de détailler de manière très précise l’étendue des obligations de chaque partie.

En cas de contrôle de la CNIL, ces informations devront être présentées sur demande.

Le non-respect de ces obligations est susceptible de justifier la mise en œuvre des sanctions prévues au RGPD.


Quelles ressources pour la mise en conformité des contrats au RGPD ?


La ressource principale reste le site de la CNIL.

Des clauses de sous-traitance type ont été rédigées par les juristes de la CNIL et sont disponibles à l’adresse suivante : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Elles peuvent s’adapter à la plupart des traitements de données personnelles non sensibles et proposent diverses options de répartition des responsabilités et engagements.

Il convient donc, a minima, de rédiger un avenant à vos contrats pour y intégrer ces éléments.


Les spécificités des contrats régissant le transfert de données personnelles hors de l’Union Européenne


Si la relation de sous-traitance entraîne le transfert de données personnelles hors de l’Union Européenne, ce contrat peut être soumis à des conditions particulières.

La Commission Européenne a prévu que dans ce cas, et sauf si le tiers installé hors de l’UE fait partie d’un pays disposant d’une protection en matière de données personnelles considérée comme adéquate, il est nécessaire de conclure les clauses contractuelles types.

Cela n’est pas nécessaire pour les prestataires installés aux Etats-Unis s’ils sont titulaires de la certification Privacy Shield.

Elles doivent être complétées et signées sur le modèle fourni par la Commission Européenne, et disponible sur le site de la CNIL : https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

Toute modification de ces clauses contractuelles types est soumise à l’accord préalable de la CNIL.





conformite-rgpd

Le RGPD, quel impact opérationnel sur le traitement des données personnelles par les startups ?


Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’appliquera à tous les traitements de données personnelles au sein de l’Union Européenne.

Il concernera toutes les entreprises, quelle que soit leur taille.

En conséquence, il est fondamental de faire le nécessaire pour être mis en conformité avant la date fatidique.

Le RGPD a un double impact sur vos activités :

  • Renforcement de la protection des personnes concernées par les données personnelle.
  • Adaptation des procédures internes pour mettre en place une conformité en amont.

Les sanctions, en cas de non-respect du RGPD, sont conséquentes dans tous les cas :

  • Chiffre le plus élevé entre 10 millions d’euros et 2% du chiffre d’affaire mondial pour les atteintes techniques (Privacy by Design, Privacy by Default, absence d’analyse d’impact)
  • Chiffre le plus élevé entre 20 millions d’euros et 4% du chiffre d’affaire mondial pour les atteintes aux droits des personnes.

Un renforcement des droits des personnes sur les données personnelles


Le RGPD renforce les droits des personnes dont les données personnelles sont collectées.

Les principes mis en place sont les suivants :

  • Traitement des données personnelles de manière licite, loyale et transparente.
  • Collecte pour des finalités précises, claires, déterminées, explicites, compréhensibles et légitimes.
  • Utilisation uniquement pour ces finalités.
  • Minimisation des données collectées à celles qui sont pertinentes pour la finalité.
  • Mise à jour des données – suppression des données périmées.
  • Conservation limitée dans le temps aux besoins du traitement.
  • Protection de la sécurité des données.
  • Privacy by Design : les principes du RPGD doivent être intégrés dès la mise en place du traitement.
  • Privacy by Default : seules les données nécessaires sont traitées.

Ces principes impliquent la mise en œuvre de procédures techniques spécifiques : acceptation par cases à cocher, anonymisation, pseudonymisation, chiffrement, logs, processus de sécurité.

Les personnes concernées doivent également être entièrement informées des données collectées, des finalités des traitements et des procédures mises en place. Elles doivent également pouvoir obtenir du responsable de traitement qu’il modifie les données, les supprime, lui transmette ou l’informe sur les données personnelles qu’il détient sur elle, dans un délai d’un (1) mois à compter de sa demande. Toute personne peut également s’opposer au traitement de ses données, à tout moment.

Les droits conférés sont donc extensifs et doivent être répercutés au sein de vos documents contractuels (CGV / CGU notamment) et procédures internes.


La nécessité de mettre en place des procédures de conformité en interne


Si les droits conférés aux personnes sont étendus, ceux-ci restent dans le prolongement de la réglementation existante.

En revanche, les entreprises sont désormais soumises à des obligations transformées et bien plus importantes.

La déclaration préalable n’est plus nécessaire, chaque responsable de traitement devant garantir le respect du RGPD pour tous les traitements de données personnelles.

Il est nécessaire, au sein de chaque entreprise de plus de 250 salariés, de tenir un registre des traitements effectués. Les entreprises de moins de 250 salariés ne doivent tenir qu’un registre des traitements sensibles ou si le traitement est régulier. Toutefois, il est fortement conseillé à toutes les entreprises de tenir un registre de l’intégralité de leur traitement. La CNIL fournit un modèle de registre qu’il est conseillé d’utiliser : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

Tout traitement de données sensibles (données de santé, politiques, ethniques, religieuses, sexuelles) ou incluant un profilage doit également faire l’objet d’une analyse d’impact. Celle-ci est également conseillée, bien que non obligatoire, pour tous les traitements de données personnelles. La CNIL a mis à disposition du public un logiciel qui guide cette analyse : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Les entreprises sont également invitées à nommer un Data Protection Officer (DPO), qui coordonne les traitements en interne, et les relations avec la CNIL en cas de contrôle. Ceci est obligatoire si l’entreprise traite des données personnelles de manière régulière et systématique, ou si elle traite des données sensibles. Le DPO peut être interne à l’entreprise ou un prestataire spécifique.

Diverses procédures techniques et administratives doivent également être mises en place :

  • Procédure de réponse aux demandes des personnes concernées.
  • Portabilité des données.
  • Suivi des destinataires.
  • Procédure de notification de la CNIL en cas d’atteinte aux données.
  • Suivi documentaire de la conformité au RGPD (audit technique régulier, détail des mesures de sécurisation prise).
  • Mise en place d’obligations de confidentialité pour les salariés.
  • Limitation des accès aux données (par exemple via un système de permission).
  • Mise en place de logs des accès aux données.
  • Système de purge des données.
  • Procédure d’acceptation de la politique de données personnelles par vos clients, en particulier si des services sont fournis en ligne (case à cocher non précochée).

Il convient également de s’assurer que vos contrats avec vos sous-traitants prévoient une répartition des rôles et responsabilités en matière de données personnelles, et notamment que vos partenaires présentent les garanties nécessaires de conformité au RGPD.

Il est donc nécessaire de faire le point sur vos procédures internes et de les adapter préalablement au 25 mai 2018.

La CNIL disposera de pouvoirs et moyens renforcés pour vérifier la conformité des entreprises au RGPD, dès cette date.

N’hésitez pas à nous contacter si vous souhaitez être assisté.




donnees-sites-internet-extraction-utilisation

L’extraction et l’indexation de données par les crawlers sur internet – Point juridique


L’explosion du data mining et du big data pousse à s’intéresser à la légalité de la collecte automatisée de données.

Les données peuvent être collectées volontairement, au moyen de formulaires remplis par des utilisateurs, ou en obtenant le droit d’utiliser des bases de données. Elles peuvent également être collectées au moyen de robots – dits crawlers web – qui parcourent le web à la recherche de données pour les indexer et en permettre la consultation ultérieure par des tiers.

Qui est propriétaire des données collectées ? Est-il possible de collecter les données sans autorisation ?

Il s’agit d’un risque juridique à analyser pour toute société procédant à ce type de collecte.

Voir la suite : http://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.htm





Quelles sont les règles à respecter en cas de collecte et traitement de données personnelles de clients?


DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de se référer à l’article suivant, suite à l’entrée en vigueur du RGPD : http://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/

Votre plateforme a vocation à mettre en relation des clients avec des professionnels ? Vous fournissez un service en ligne à des consommateurs ? Il vous est vraisemblablement nécessaire d’obtenir des données personnelles de la part de vos clients, quelles qu’elles soient.

La loi Informatique et Libertés, n°78-17 du 6 janvier 1978 organise la collecte et le traitement des données personnelles.

Outre les sujets abordés dans un article précédent, dans un premier temps, il conviendra, sauf dispense, de procéder à une déclaration auprès de la CNIL. Les données devront ensuite être sécurisées, en particulier si le traitement est effectué par une entreprise étrangère. Enfin, des processus doivent permettre au client de contrôler l’usage qui sera fait de ses données, à la fois par l’entreprise qui les collecte mais également par ses sous-traitants.


La déclaration de la collecte de données personnelles auprès de la CNIL


La collecte de données personnelles doit être déclarée auprès de la CNIL, afin de protéger la vie privée des clients. Il est conseillé de procéder à cette déclaration avant même de débuter la collecte, mais il sera toujours possible de régulariser la situation a posteriori si cela n’a pas été fait.

La CNIL a prévu plusieurs normes, applicables à diverses situations. Celles-ci sont soumises à des régimes différents, à la fois dans leur déclaration mais également leur gestion quotidienne.

Il existe deux, voire trois types de déclaration :

  • La déclaration simplifiée, très rapide, qui ne nécessite pas de fournir des éléments techniques ;
  • La déclaration normale, qui nécessite de préciser des points par exemple liés à la sécurité des données, aux interconnexions, aux droits d’accès ;
  • La dispense de déclaration pour les données les moins sensibles.

Pour les données les plus sensibles, il peut être nécessaire de demander une autorisation à la CNIL. C’est le cas par exemple de la collecte et du traitement de données médicales, dont il sera nécessaire de justifier préalablement la finalité et les modalités (en particulier en matière de sécurité) à la CNIL.

Avant toute déclaration, il conviendra donc de rechercher la norme applicable sur le site de la CNIL, afin d’effectuer la déclaration adéquate.

Cette déclaration est gratuite.


La garantie de sécurité informatique des données personnelles collectées


L’entreprise responsable du traitement est également, en toute logique, responsable de la sécurité et de la confidentialité des données personnelles dont elle dispose.

Elle devra prendre toutes les précautions nécessaires afin que l’accès à celles-ci soit sécurisé selon les règles de l’art en vigueur (copies de sauvegarde, sécurité liée aux mots de passe, antivirus, pare-feu…). Elle devra également s’assurer que l’accès soit limité aux seules personnes dont les fonctions nécessitent d’y accéder.

Les sous-traitants devront également s’engager contractuellement à respecter les mêmes règles. Le responsable de traitement reste toutefois garant du respect des normes vis à vis de la CNIL et de la personne dont les données sont manipulées.

Par ailleurs, les données ne doivent en principe pas quitter le territoire de l’Union Européenne. Il est toutefois possible de faire appel à un sous-traitant non-européen, uniquement si celui-ci est soumis à des règles équivalentes aux règles communautaires (principe dit du safe harbour) ou s’engage à les respecter (principe des binding corporate rules – BCR). Le client doit toutefois en être informé dans les documents contractuels, en application du principe de transparence.

Il conviendra par ailleurs de prêter une attention toute particulière à la sécurité des données sensibles, préalablement soumises à autorisation de la CNIL. Cette dernière peut effectuer une enquête lors de la procédure d’autorisation, sur la base des déclarations du client, quant aux mesures de sécurité qui seront appliquées.


Transparence, pertinence et information du client en matière de collecte de données personnelles


La loi Informatique et Libertés prévoit, dans une logique de transparence, que la personne qui fournit ses données doit être informée de la finalité du traitement, et ne peut donner son accord que de manière limitative.

En conséquence, sont uniquement autorisés les usages pour lesquels le client a explicitement donné son accord. Il est ainsi, par exemple, impossible de communiquer les données à un tiers (y compris les sous-traitants) sans autorisation du client.

Les données collectées doivent également être pertinentes quant à la finalité attendue, et la durée du traitement doit être limitée dans le temps, conformément à la durée prévue par la CNIL pour chaque type de fichier.

Il convient donc de prêter une attention particulière aux objectifs de la collecte et du traitement, afin d’en informer le client de manière préalable. En l’absence d’information et d’autorisation donnée par le client, il est interdit d’utiliser les données personnelles.


La mise en place de procédures permettant le contrôle de ses données personnelles par le client


La Loi Informatique et Libertés garantit le respect des droits fondamentaux aux personnes concernées par les données collectées :

  • Le droit d’information, selon lequel une personne peut demander à toute entreprise si celle-ci a collecté ses données personnelles, et, le cas échéant, l’étendue des données collectées.
  • Le droit d’opposition, qui permet de s’opposer au fait de figurer dans un fichier et à l’utilisation commerciale des données collectées.
  • Le droit d’accès, qui permet à toute personne d’obtenir une copie des données personnelles la concernant, qui sont détenues par l’entreprise. A titre d’exemple, c’est la raison pour laquelle les réseaux sociaux mettent une option à disposition des utilisateurs pour récupérer les données personnelles les concernant sur leur base de données.
  • Le droit de rectification, qui permet à toute personne d’obtenir la rectification ou l’effacement des données personnelles qui ont été collectées.

Ces droits doivent donc être traduits dans les documents contractuels conclus entre l’entreprise qui collecte et traite les données, et ses clients.

L’intégralité de ces droits doit y figurer, et des processus adéquats être mis en place afin de permettre aux clients d’échanger avec l’entreprise à ce sujet.

En général, mettre une adresse mail spécifique à disposition du client et prévoir un engagement de réponse dans un délai court (vingt-quatre ou quarante huit heures ouvrées) est suffisant pour respecter les obligations légales.

Le respect de ces quelques bonnes pratiques simples sécurise la relation juridique avec le client, mais également avec la CNIL, et évite une exposition inutile aux sanctions financières et pénales conséquentes prévues par la Loi Informatique et Libertés.

La mise en conformité avec les obligations légales en matière de données personnelles est relativement aisée, et le cabinet peut vous y assister. Il est ainsi possible de les respecter sans véritable investissement financier, quel que soit le stade de développement de votre entreprise.

Il convient de noter que le nouveau règlement en matière de données personnelles va nécessiter d’y prêter une attention encore plus importante.




cjue-droit-oubli

Comment puis-je faire supprimer des informations me concernant par un moteur de recherche ? Mode d’emploi.


Vous souvenez-vous de cette magnifique photo, prise lorsque vous aviez quatorze ans, sur laquelle vous portiez un appareil dentaire parfaitement seyant, et qui a été publiée sur le site internet de votre ancien collège ? Ou peut-être de cet article de journal racontant votre chute dans un lac le jour de votre anniversaire, ayant nécessité l’intervention de la brigade locale des sapeurs-pompiers ?

Si vous avez tenté et réussi à oublier ces moments difficiles, les moteurs de recherche auront moins de pitié pour votre réputation sur internet. Lorsqu’une page est indexée, les informations qui y figurent restent pour toujours accessibles sur internet, à simple portée de recherche. Cela pourrait poser un problème de crédibilité si vous êtes en phase de recherche d’un poste de management dans une entreprise internationale !

Toutefois, rien n’est perdu. Il existe plusieurs moyens de faire supprimer, ou à tout le moins, de faire disparaître, les résultats qui pourraient vous porter préjudice lorsqu’une recherche est effectuée sur votre nom.

Dans un premier temps, comme souvent, la meilleure stratégie pour protéger votre e-réputation est de contacter l’éditeur du site internet afin de faire supprimer l’information.

Si cela n’est pas suffisant, une décision Google Spain, de la Cour de Justice de l’Union Européenne, du 13 mai 2014, permet désormais à toute personne physique, sous conditions, d’obtenir la suppression du référencement de certaines informations la concernant par les moteurs de recherche. Le terme droit à l’oubli est fréquemment utilisé. Toutefois, en réalité, il s’agit plutôt d’un droit au déréférencement des données personnelles.


Comment obtenir la suppression de données par un site internet ?


Si un site internet contient des informations pouvant vous porter préjudice, il est de bonne pratique de prendre contact avec l’éditeur du site pour lui demander d’en procéder à la suppression. Vous pourrez, dans la majorité des cas, trouver les informations de contact dans les mentions légales du site ou sur une page spécifiquement allouée à cette fin.

S’il s’agit de données personnelles, les données peuvent être supprimées du site, à votre demande, sur le fondement de la Loi Informatique et Libertés de 1978.

Il convient toutefois de préciser que si ces informations ne sont pas illégales ou ne portent pas atteinte à votre vie privée, l’éditeur du site n’est tenu d’aucune obligation de procéder à une telle suppression. C’est le cas par exemple des articles de journaux, qui ont une vocation informative, même s’ils vous présentent sous un jour négatif.

Il s’agira alors essentiellement d’un échange de bonne foi entre l’éditeur et vous, et aucun moyen légal ne vous permettra de lui imposer de retirer les informations qui figurent sur son site internet.

Si l’information est illégale ou porte atteinte à votre vie privée, il sera bien entendu possible de mettre en œuvre une procédure judiciaire au moyen du fondement adéquat.

Si cela n’est pas suffisant, les moteurs de recherchent sont désormais tenus de mettre à disposition de leurs utilisateurs une méthode de déréférencement des données les concernant.


Le droit à l’oubli numérique sur les moteurs de recherches, vie privée contre liberté d’expression


La Cour de Justice de l’Union Européenne, dans sa décision du 13 mai 2014, indique que l’exploitant d’un moteur de recherche est le responsable du traitement de données constitué par l’indexation des pages internet. En conséquence, les règles applicables aux données personnelles sont applicables aux moteurs de recherche.

Concrètement, toute personne physique concernée peut demander que soit supprimé de la liste des résultats apparaissant lors d’une recherche sur son nom, tout résultat qui peut lui porter préjudice.

La Cour précise que ne peuvent être supprimées que les informations qui sont « inadéquates, pas ou plus pertinentes ou excessives »

Il s’agit d’une application du principe de protection de la vie privée.

Ce droit à l’oubli est toutefois limité, afin d’éviter qu’il puisse porter atteinte à « l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question ». Le droit à l’information est donc mis en balance avec le droit à la vie privée.

En conséquence, il sera par exemple impossible pour un homme politique de demander la suppression d’articles portant sur une ancienne condamnation pénale pour malversations. Dans ce cas, l’intérêt légitime à l’information est constitué. En effet, il sera utile pour le public de pouvoir connaître la condamnation d’un homme politique, qui est par nature amené à manier des fonds.

A l’inverse, une photographie dégradante pourra être considérée comme inadéquate, pas pertinente ou excessive et justifiera une suppression. Celle-ci n’a aucune valeur informative et son seul objet est de porter atteinte à la personne qui y figure.

Cette jurisprudence laisse toutefois une marge d’appréciation importante aux moteurs de recherches sur les contenus pouvant être supprimés. Il fait peu de doute que de futures jurisprudences auront à préciser ce point.

Cet arrêt concerne tous les moteurs de recherche visant un public européen, qu’il s’agisse de Google, Bing ou de tout autre acteur du secteur.

Ceux-ci ont déjà réagi et mis en place des procédures de signalement simples via des formulaires aux adresses suivantes :

Il convient toutefois de rappeler que ce n’est pas parce que Google aura supprimé l’indexation d’une page que les autres moteurs seront tenus d’en faire de même. La demande devra être renouvelée auprès de tous les acteurs du marché.

En outre, cette demande ne concerne que les résultats sur les versions européennes des moteurs de recherche. Les pages concernées pourront toujours être indexées sur leurs autres versions.

En outre, si la page n’est plus indexée, cela ne signifie pas qu’elle n’est plus disponible en cas d’accès par le lien direct. Elle sera toutefois cachée dans les profondeurs du web et difficile à trouver si son existence est inconnue. Il s’agira donc d’un moindre mal dont les conséquences seront très limitées.


La prudence restera toujours mère de sûreté en matière d’e-réputation


S’il est utile de disposer de tels outils, il convient toutefois de rappeler que toute information qui figure sur internet est par nature virale et qu’il est particulièrement difficile d’en contenir la propagation.

En conséquence, avant même de publier un contenu, il est nécessaire de s’assurer que celui-ci n’est pas de nature à porter atteinte à votre image numérique, maintenant ou dans dix ans.




declaration-donnees-cnil

La déclaration des données personnelles de vos clients, une problématique en plein développement


DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de vous référer à l’article suivant : http://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/

Toutes les jeunes entreprises ayant vocation à contractualiser avec des personnes physiques vont rapidement procéder à la collecte de données de leurs clients, qu’il s’agisse, par exemple, de données de contact dans le cadre d’une landing page, de données de paiement lors d’une commande en ligne, ou d’un fichier marketing.

Ces données sont des données personnelles.

La CNIL est particulièrement vigilante quant au respect des règles applicables à ces données (voir également)


Qu’est-ce qu’une donnée personnelle ?


L’article 2 de la Loi Informatique et Libertés définit les données personnelles de la manière suivante :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

La collecte et le traitement de ces données à des fins commerciales, qu’il s’agisse de leur stockage ou de leur utilisation, répond à des règles précises qu’il est nécessaire de connaître en amont, afin de les intégrer à vos process internes.

L’article susmentionné définit le traitement de la manière suivante :

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »


Les sanctions applicables


Dès que vous aurez à connaître des informations de vos clients, en tant que responsable de traitement, vous entrerez dans le champ de ces règles.

Il convient d’en tenir compte dès lors que les sanctions du non-respect de ces règles sont en effet conséquentes, à la fois sur le plan juridique mais également pour l’image de votre entreprise vis-à-vis de vos clients.

L’article L226-16 du Code Pénal prévoit notamment que :

« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. »

D’une manière générale, le non-respect des règles énoncées ci-après est soumis à des sanctions identiques.

En outre, le non-respect de ces règles, rendu public par un de vos clients, pourrait sensiblement dégrader la confiance de vos clients. La CNIL prévoit par ailleurs des sanctions de publicité du non-respect des règles, dans certaines situations.


Que faire pour respecter les règles de la CNIL ?


La déclaration

Dans un premier temps, il convient d’identifier le type de traitement concerné. A cette fin, le site internet de la CNIL est particulièrement complet.

La CNIL met à disposition un système de normes simplifiées (fichiers client, gestion du personnel, traitements statistiques, certains fichiers financiers …), permettant de déclarer un fichier de données de manière rapide et quasi-automatique.

Il existe également des dispenses de déclaration pour les traitements les plus classiques (fichiers de communication non commerciale, fichiers de fournisseurs, archives …).

A l’exception de quelques cas limités de données sensibles (données de santé, biométriques, de sécurité sociale …), si votre traitement n’entre pas dans ces deux régimes, la déclaration normale s’appliquera.

Dans tous les cas, l’identification de votre type de traitement est fondamentale pour choisir la procédure adéquate.

La localisation géographique de vos données

Il conviendra également de connaître la circulation de votre fichier de données. En effet, si vos données sortent de l’Union Européenne, il sera nécessaire de vous assurer que les règles du pays concernées sont compatibles et équivalentes avec celles applicables sur le territoire européen. Les règles applicables varient selon le pays concerné – nous vous conseillons de faire appel à un avocat spécialisé ou un correspondant informatique et libertés afin de sécuriser votre position.

Les droits des titulaires des personnes physiques

La Loi Informatique et Libertés garantit aux personnes physiques plusieurs droits sur les données qui ont pu être collectées :

  • Droit d’accès aux données,
  • Droit de rectification des données,
  • Droit d’opposition à figurer au sein d’un fichier,
  • Droit au déréférencement, pour les moteurs de recherches.

Vos conditions d’utilisation ou de vente devront informer vos clients de ces droits et prévoir l’application pratique de ces droits (moyen de contact, délai de réponse).

En outre, vous devez informer vos clients :

  • du détail de ce qui est collecté ainsi que la manière dont les données sont collectées (cookies, formulaires…),
  • de l’usage qui sera fait de leur données (traitement interne, revente, usage pour améliorer le service client…), cet usage étant strictement limité à ce qui a été accepté par la personne physique.

Vos clients devront également être informés si les données personnelles quittent l’Union Européenne.

Il est en général conseillé de prévoir une adresse mail spécifique permettant à vos clients de vous contacter pour leur permettre d’appliquer leurs droits.

Une réponse doit être apportée au client dans un délai de deux mois. Si cela n’est pas le cas, la CNIL pourra être saisie par la personne physique.

Les données personnelles sont donc une problématique quotidienne pour les entreprises en contact avec une clientèle de consommateurs. La CNIL dispose de pouvoirs conséquents pour s’assurer du respect des règles applicables, et vos clients sont de plus en plus sensibles à l’usage qui est effectué de leurs données.

En conséquence, le respect de ces normes par votre entreprise est désormais fondamental. Cela vous permettra de limiter les risques juridiques et donc de vous focaliser sur votre cœur de métier.