Leçons RGPD retenues en février 2020 à ne pas oublier

LinkedIn

Au mois de février, les autorités nous ont indiqué plusieurs points liés à la protection des données personnelles à respecter.

1. Rédigez vos règles de gouvernances

Si votre société constitue un groupe international qui effectue des échanges de données avec vos filiales sis dans et/ou hors l’Union européenne, vous devrez désigner l’autorité indépendante sur la question de la protection des données personnelles du pays européen où vous avez votre représentant européen ou où le siège opérationnel se trouve, en tant que l’autorité-chef de file. Si vous êtes en France, il s’agit de la CNIL. Une fois que vous avez rédigé vos règles gouvernant ces échanges, vous devrez les soumettre à la CNIL, qui les commente et obtienne l’avis de deux autres autorités européennes avant de les transmettre à la Commission Européenne de la Protection des Données.

2. Soyez spécifiques

Avec la mise en demeure prononcée contre EDF et ENGIE, vous êtes averti(e)s, d’une part, lorsque vous recueillez le consentement des utilisateurs, de les rassurer qu'ils aient la possibilité de donner ou non leur consentement pour chaque objectif et de ne pas oublier de distinguer et d'expliquer les traitements avec leurs détails respectifs. De l’autre, lors de la définition des durées de conservation, veillez à ce que vous appliquiez la durée de conservation correspondante pour chaque objectif et triez les données que vous conservez en fonction de leur durée et de leur finalité, en évitant la conservation globale.

3. Portez la responsabilité

En outre, un homologue européen de la CNIL a jugé qu'une société exploitant un site web incorporant des bannières publicitaires de Google peut être tenue conjointement responsable de la collecte et de la transmission à Google des données personnelles des visiteurs de son site web. Cela vous donne plus de responsabilités, et vous pouvez même être tenu pour responsable de tout préjudice que Google pourrait causer aux données transmises par votre site web.

4. Respectez les consentements et refus

TIM opérateur telecom italien subit une amende de plus de 28 millions d'euros pour avoir collecté et traité des données personnelles dans le but de prospection, sans consentement et non-respect des demandes de retrait de listes de prospection. Si vous faites de la prospection "outbound", en dehors de l’activité professionnelle d’un individu, vous êtes prévenus !

5. Faites passer les droits et les libertés des personnes en premier

Si vous souhaitez utiliser un algorithme permettant de profiler un client, un utilisateur ou un quelconque autre individu en fonction de son risque de fraude, vous ne devez jamais le déployer sans justifier son "juste équilibre" (une relation raisonnable) entre l'intérêt qu'un tel outil peut servir et la violation de la vie privée qu'il peut causer. Une analyse d'impact sur la vie privée est une nécessité et doit être exploitée pour atténuer efficacement les éventuels préjudices. Nous avons témoigné que le gouvernement néerlandais a été condamné par la Cour européenne des droits de l'homme pour son outil, appelé SyRI, qui utilise un modèle algorithmique pour calculer le risque caché et qui a exclusivement ciblé les quartiers où vivent principalement des personnes à faibles revenus et des minorités. Avec SyRI, des quartiers pauvres entiers et leurs habitants ont été ciblés et espionnés numériquement, sans aucun soupçon concret de fraude. Cette décision nous rappelle le principe de "proportionnalité" du RGPD.

6. Justifiez vos bases légales

Vous pouvez également suspendre toute décision si vous envisagiez de faire une évaluation ou notation (autrement dit du “scoring”) par traitement des congés maladie de vos employés, car l'homologue chypriote de la CNIL a sanctionné une entreprise par une amende de 82 000 € pour ces faits exactes. Si vous voulez vraiment faire du scoring, veuillez justifier votre choix par une base juridique solide et la renforcer par une base supplémentaire spécifique à l'utilisation de "données sensibles" dans vos méthodes de scoring, suivie d'une analyse approfondie de l'impact sur la vie privée.

7. Réagissez dans le temps

Nous avons pu constater que la CNIL fixe des objectifs réalisables par étapes, et dans des délais compatibles, en vertu de la décision de la CNIL qui indique que la première étape de conformité est atteinte pour la société Boutique.Aéro, à savoir la nécessité, dans les dix (10) jours suivant la notification de la mise en demeure, d'arrêter le traitement des images du dispositif vidéo aux fins de localisation des salariés, et de prendre toutes les mesures de sécurité pour tout traitement de données à caractère personnel. La société Boutique.Aéro a donc bénéficié d'une clôture partielle de la mise en demeure et il ne lui reste plus qu'à établir, dans un délai de deux (2) mois, un registre des traitements, à informer les personnes concernées, à établir un contrat ou un autre acte juridique avec la société de services informatiques, et à justifier auprès de la CNIL que toutes les demandes précitées ont été respectées, et ce dans le délai imparti.