LE CONSEIL DE DATA LEGAL DRIVE

[Art. 32 RGPD]

Manquement à l'obligation de sécurité

Afin de vous préserver contre les cyberattaques éventuelles qui nuisent à votre entreprise, tant d’un point de vue opérationnel qu’à sa réputation, plusieurs « gestes sains » peuvent être mis en place.

Par exemple, respecter une politique de mots de passe afin de restreindre l’accès aux divers postes de travail, avec des mots de passe difficiles à deviner, et renouvelés régulièrement.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 6 RGPD]

Défaut de base légale

Comme le rappelle le RGPD, à l’article 6 : Un traitement de données n’est licite que s’il repose sur une base légale.

Beaucoup de sanctions ont donc été prononcées pour défaut de base légale : autrement dit, des traitements de données qui ne reposaient sur rien.

Ainsi, en amont de la mise en œuvre de votre traitement de données, il est donc indispensable d’analyser l’article 6 du RGPD, et les six bases légales proposées.

Posez vous ensuite la question suivante : » Sur quelle base légale repose mon traitement » ?

Par exemple, si vous choisissez l’obligation légale, vous devez être en mesure de le justifier, en citant le texte légal qui vous oblige à mettre en oeuvre ce traitement de données.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 4 RGPD]

Défaut de recueil du consentement

Le consentement est l’une des bases légales prévues par le RGPD, sur laquelle un traitement de données peut se fonder. Le consentement n’a pas systématiquement à être recueilli.

En effet, un responsable de traitement peut s’appuyer sur une autre base légale (par exemple, un contrat).

Dans d’autres cas, le consentement devra obligatoirement être recueilli, par exemple dans le cadre d’une activité de prospection commerciale en B to C.

Lorsqu’il doit être recueilli, il doit donc l’être correctement. A ce titre, le RGPD donne quatre critères pour déterminer si un consentement est, ou non, valide.

Il doit être :

Libre : ni contraint, ni influencé – la personne ne doit pas subir de conséquences négatives en cas de refus

Spécifique : Le consentement donné par une personne ne doit correspondre qu’à un seul traitement pour laquelle la finalité est déterminée

Eclairé : En tant que responsable de traitement, vous avez l’obligation d’informer la personne concernées de certains éléments comme votre identité, les finalités du traitement, les données collectées ect…

Univoque : La personne concernée par le traitement de donnée doit consentir au traitement par une déclaration ou tout autre acte positif clairs. Il est donc utile de rappeler que les cases pré-cochées ou encore l’absence de traitement à un courriel ne constituent pas un consentement valable. En effet, en matière de données personnelles, qui ne dit mot ne consent pas.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 13 & 14 RGPD]

Manquement à l'obligation d'information des personnes

Le RGPD impose aux responsables de traitement une obligation de transparence, reprise aux articles 12, 13 et 14 du RGPD.

L’information délivrée aux personnes concernées par le traitement doit, en outre, être complète et précise.

Le RGPD liste les informations à transmettre :

En cas de collecte directe

En cas de collecte indirecte

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 15 à 22 RGPD]

Demande d'exercice de droit

En vertu des articles 15 à 22 du RGPD, les personnes concernées par le traitement peuvent exercer des demandes d’exercice de droit :

Droit d’accès

Droit d’opposition,

Droit à la portabilité,

Droit à l’effacement ect…

En tant que Responsable de traitement, vous avez l’obligation de répondre à cette demande ( cela peut-être une réponse négative selon la situation) le plus rapidement possible, et dans un délai d’un mois.

Vous avez tout de même la possibilité de prolonger de deux mois ce délai si vous estimez que la demande est complexe, par exemple si vous devez communiquer une grande quantité de données, à condition d’en informer la personne concernée.

A noter cependant qu’en cas de demande portant sur des données de santé, le délai de réponse est porté à huit jours.

Enfin, en cas de doute légitime sur l’identité de la personne effectuant la demande, vous avez tout de même la possibilité de demander un justificatif d’identité.

LE CONSEIL DE DATA LEGAL DRIVE

[Art 5.1 c RGPD]

Défaut de minimisation de la collecte

La minimisation lors de la collecte de la donnée est l’un des point clé du RGPD : Elle impose que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles les données vont être traitées.

Dès lors, avant de collecter des données pour un traitement particulier posez vous la question suivante : « Ai-je strictement besoin de cette donnée pour mettre en oeuvre mon traitement ? « .

Par exemple, pour une activité de prospection commerciale B to B, il est intéressant de connaître la catégorie professionnelle de la personne, mais vous n’avez pas besoin de connaître sa situation personnelle.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 82 de la Loi Informatique et Libertés]

Non respect de la règlementation Cookies

Récemment, la CNIL a annoncé les trois axes prioritaires de contrôles pour l’année 2021, et les Cookies en font partie.

Pour rappel, les utilisateurs d’un site Internet doivent être informés du dépôt de Cookies.

Pour les cookies dits « strictement nécessaires » : Le consentement n’est pas obligatoire, mais pensez à rappeler aux visiteurs de votre site internet que vous en utilisez.

Pour les autres types de cookies : Il est obligatoire de recueillir le consentement de l’internaute préalablement au dépôt de ces cookies.

L’utilisateur doit consentir par un acte positif clair, le silence d’un utilisateur tel que le fait que la simple poursuite de sa navigation ne vaut pas consentement.

De plus, l’utilisateur doit être en mesure de retirer son consentement à tout moment, facilement.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 35 RGPD]

Non réalisation d'analyse d'impact

L’article 35 du RGPD vous impose, en tant que Responsable de Traitement, de réaliser une analyse d’impact lorsque le traitement de données personnelles que vous prévoyez de mettre en œuvre est susceptible d’engendrer un risque élevé pour la vie privée de la personne concernée.

Pour guider les Responsables de Traitement dans leur choix de réaliser, ou non, une AIPD le CEPD a publié une liste de neuf critères concernant le traitement.

Dès lors, dans le cas où le traitement remplirait deux critères sur les neufs, vous avez l’obligation de réaliser une analyse d’impact en amont de votre traitement. Ainsi, avant toute mise en oeuvre d’un nouveau traitement de données personnelles, pensez à décortiquer ces neufs critères.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 31 RGPD]

Manque de coopération avec une autorité de contrôle

L’article 31 du RGPD impose aux responsables de traitement, et sous-traitant, de coopérer avec l’Autorité de contrôle (en France, la CNIL) dans l’exécution de ses missions.

Par exemple, à la suite d’une violation de données personnelles, le Responsable de Traitement a l’obligation de notifier l’évènement à l’autorité de contrôle dans le cadre d’une coopération.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 5.1 e RGPD]

Durée de conservation excessive

Le RGPD interdit strictement au responsable de traitement de conserver les données personnelles indéfiniment.

Dès lors, en amont de toute mise en œuvre, une durée de conservation doit être fixée par le responsable de traitement. Cette durée de conservation est fonction de l’objectif du traitement.

Cependant, il n’est pas toujours simple de trouver la durée de conservation la plus adéquate entre vos besoins, et le respect de la vie privée des personnes concernées. A ce titre, plusieurs options sont possibles :

La durée de conservation peut être fixée par un texte : Dans ce cas, vous devez vous tenir à la limite fixée

Une durée de conservation peut-être recommandée par la CNIL dans un référentiel : Bien que tous les référentiels CNIL ne soient pas strictement contraignant, il est très intéressant pour vous de vous aligner sur ce que dit la CNIL.

Aucune information n’est donnée : il vous appartient alors de fixer une durée de conservation appropriée à votre traitement, et respectueuse de la vie privée des personnes concernées.

LE CONSEIL DE DATA LEGAL DRIVE

[art 5.1 d RGPD]

Manquement à l'exactitude des données

Le RGPD impose que les données collectées soit exactes, complètes et mises à jours.

Dès lors, en tant que Responsable de Traitement, veillez à ce que les données collectées soient toujours exactes au regard des finalités pour lesquelles elles sont collectées.

Par exemple, il est possible de permettre aux utilisateurs de modifier eux-mêmes les données qu’ils saisissent (c’est le cas des profils utilisateurs).

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 5.1 RGPD]

Violation de la finalité initiale du traitement

Le principe de finalité du traitement est l’un des principes majeurs du RGPD. Autrement dit, aucun traitement de données ne peut être mise en œuvre s’il n’est assorti d’une finalité, laquelle doit être portée à la connaissance de la personne concernée.

La détermination d’une finalité apporte aux personnes concernées une sorte de « sécurité juridique » car ces dernières seront en mesure de garder un contrôle sur ce qui est fait de leurs données.

Dès lors, lorsqu’une finalité principale est fixée, veillez à ne pas sortir du cadre du traitement et toujours garder cette finalité car qui dit nouvelle finalité, dit alors nouveau traitement.

LE CONSEIL DE DATA LEGAL DRIVE

[Art 5.1 a]

Manquement au principe de licéité, de loyauté et de transparence

Les données personnelles doivent être traitées de manière licite, loyale et transparente. Ainsi, les organismes ne peuvent mettre en place un traitement de données qu’après avoir défini la base légale permettant de rendre légitime l’utilisation des données.

De plus, l’information doit être fournie de manière transparente, compréhensible, aisément accessible et concise.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 30 RGPD]

Manquement à l'obligation de la mise en place d'un registre des traitements

Le registre des traitements est un des outils nécessaires à la documentation de la conformité au RGPD.

La mise en place d’un registre permet d’identifier les traitements de données personnelles et d’avoir une vue globale sur les finalités de ces traitements.

A partir du moment où le registre des traitements est rempli, il serait possible de définir un plan d’action pour la conformité des données.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 12.1 RGPD]

Manquement à l'obligation de transparence

Le responsable de traitement doit fournir l’information de manière transparente, compréhensible, aisément accessible et concise.

Pour garantir le respect de cette obligation de transparence et une intégration effective de l’information, les modalités de transmission doivent être adaptées au support de l’information.

La transparence de l’information devrait notamment permettre de connaître les raisons pour lesquelles les données sont collectées ainsi que les différents droits dont bénéficie la personne concernée.

LE CONSEIL DE DATA LEGAL DRIVE

[Art. 5.1 f RGPD]

Manquement au principe d'intégrité et de confidentialité

Des mesures techniques et organisationnelles doivent être mises en place pour garantir la sécurité des données traitées.

Ces données ne doivent par ailleurs être accessibles que par les seules personnes autorisées à y accéder.

Ces mesures doivent être adaptées selon les risques afin d’empêcher tout traitement non autorisé ou illicite ou encore toute perte et toute destruction des données.

Information sur la carte

La carte des sanctions, réalisée par Data Legal Drive et son équipe de juristes, a pour vocation de donner une vue d’ensemble de l’importance qu’a pris le RGPD au fil des années quant à sa force de frappe au travers des différentes autorités de contrôle. Elle vous permettra aussi de vous faire une idée des différents motifs pour lesquels les entreprises sont actuellement sanctionnées, ainsi que de vous partager des conseils afin d’éviter ce genre de désagrément.

Si vous souhaitez avancer efficacement ou faire le bilan sur votre conformité RGPD, réalisez votre Diagnostic RGPD en cliquant ici.

Bonne consultation !

Montant affiché

${amount_filtered | number } €

SANCTIONS

Texte appliqué

${text}

Manquements

Tout sélectionner

${violation}

ENTREPRISES

Secteurs d'activité

Tout sélectionner

${sect}

Taille d'entreprise

${company}

ANNÉES

Tout sélectionner

${date}

Top 5 secteur d'activité les plus sanctionnés (en montant)

Top 5 des pays les plus sanctionnés (en montant)

Top des pays les plus sanctionnés (en nombre de sanction)

Evolution du montant total des sanctions par année

WIDGET

Ajoutez la carte des sanction RGPD de Data Legal Drive dans votre site ! Copiez et collez la balise suivante :

<iframe loading="lazy" width="668" height="640" frameborder="0" src="https://datalegaldrive.com/carte-sanctions-rgpd-light/"></iframe>
Copier