7 leçons RGPD à ne pas oublier pour protéger votre organisme
La CNIL et ses homologues au sein de l'UE prononcent régulièrement des sanctions à l'égard d'organismes, allant de la profession libérale à l'entreprise du CAC 40. Cet article vous propose 7 enseignements RGPD découlant des sanctions prononcées. Pour revenir à l'essentiel des sanctions et le cadre d'application, consultez notre article : 6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations
Portez la responsabilité
En outre, un homologue européen de la CNIL a jugé qu'une société exploitant un site web incorporant des bannières publicitaires de Google peut être tenue conjointement responsable de la collecte et de la transmission à Google des données personnelles des visiteurs de son site web. Cela vous donne plus de responsabilités, et vous pouvez même être tenu pour responsable de tout préjudice que Google pourrait causer aux données transmises par votre site web. Pour en savoir plus sur la gestion des cookies, consultez notre article : Cookies RGPD et protection des données personnelles
Consentement et durées de conservation
Avec la mise en demeure prononcée contre EDF et ENGIE, vous êtes averti(e)s :
- d’une part, lorsque vous recueillez le consentement des utilisateurs, de les rassurer qu'ils aient la possibilité de donner ou non leur consentement pour chaque objectif et de ne pas oublier de distinguer et d'expliquer les traitements avec leurs détails respectifs ;
- de l’autre, lors de la définition des durées de conservation, veillez à ce que vous appliquiez la durée de conservation correspondante pour chaque objectif et triez les données que vous conservez en fonction de leur durée et de leur finalité, en évitant la conservation globale.
Respectez les consentements et les refus
TIM opérateur télécom italien subit une amende de plus de 28 millions d'euros pour avoir collecté et traité des données personnelles dans le but de prospection, sans consentement et non-respect des demandes de retrait de listes de prospection.
Si vous faites de la prospection, en dehors de l’activité professionnelle d’un individu, vous êtes prévenus !
Pour aller plus loin, consultez notre article : RGPD et prospection commerciale, ce qu'il faut retenir.
Faites passer les droits et les libertés des personnes en premier
Si vous souhaitez utiliser un algorithme permettant de profiler un client, un utilisateur ou un quelconque autre individu en fonction de son risque de fraude, vous ne devez jamais le déployer sans justifier son "juste équilibre" (une relation raisonnable) entre l'intérêt qu'un tel outil peut servir et la violation de la vie privée qu'il peut causer. Une analyse d'impact sur la vie privée est une nécessité et doit être exploitée pour atténuer efficacement les éventuels préjudices. Nous avons témoigné que le gouvernement néerlandais a été condamné par la Cour européenne des droits de l'homme pour son outil, appelé SyRI, qui utilise un modèle algorithmique pour calculer le risque caché et qui a exclusivement ciblé les quartiers où vivent principalement des personnes à faibles revenus et des minorités. Avec SyRI, des quartiers pauvres entiers et leurs habitants ont été ciblés et espionnés numériquement, sans aucun soupçon concret de fraude. Cette décision nous rappelle le principe de "proportionnalité" du RGPD.
Rédigez vos règles de gouvernances
Si votre société constitue un groupe international qui effectue des échanges de données avec vos filiales sis dans et/ou hors l’Union européenne, vous devrez désigner l’autorité indépendante sur la question de la protection des données personnelles du pays européen où vous avez votre représentant européen ou où le siège opérationnel se trouve, en tant que l’autorité-chef de file.
Si vous êtes en France, il s’agit de la CNIL. Une fois que vous avez rédigé vos règles gouvernant ces échanges, vous devrez les soumettre à la CNIL, qui les commente et obtienne l’avis de deux autres autorités européennes avant de les transmettre à la Commission Européenne de la Protection des Données.
Justifiez vos bases légales
Vous pouvez également suspendre toute décision si vous envisagiez de faire une évaluation ou notation (autrement dit du “scoring”) par traitement des congés maladie de vos employés, car l'homologue chypriote de la CNIL a sanctionné une entreprise par une amende de 82 000 € pour ces faits exactes. Si vous voulez vraiment faire du scoring, veuillez justifier votre choix par une base juridique solide et la renforcer par une base supplémentaire spécifique à l'utilisation de "données sensibles" dans vos méthodes de scoring, suivie d'une analyse approfondie de l'impact sur la vie privée.
Réagissez dans les temps
Nous avons pu constater que la CNIL fixe des objectifs réalisables par étapes, et dans des délais compatibles, en vertu de la décision de la CNIL qui indique que la première étape de conformité est atteinte pour la société Boutique.Aéro, à savoir la nécessité, dans les dix (10) jours suivant la notification de la mise en demeure, d'arrêter le traitement des images du dispositif vidéo aux fins de localisation des salariés, et de prendre toutes les mesures de sécurité pour tout traitement de données à caractère personnel. La société Boutique.Aéro a donc bénéficié d'une clôture partielle de la mise en demeure et il ne lui reste plus qu'à établir, dans un délai de deux (2) mois, un registre des traitements, à informer les personnes concernées, à établir un contrat ou un autre acte juridique avec la société de services informatiques, et à justifier auprès de la CNIL que toutes les demandes précitées ont été respectées, et ce dans le délai imparti.