En matière de protection des données à caractère personnel, un entrepreneur peut prendre plusieurs résolutions afin de garantir le respect des lois et la sécurité des informations collectées.
Je commence évidemment par vous rappeler la nécessaire: 🌍 Mise en Conformité au RGPD : s’assurer d’être en conformité avec le Règlement Général sur la Protection des Données (RGPD) en mettant en place des procédures conformes.
Parmi ces process, je vous invite à : 🖊 Une politique de confidentialité pour assurer une transparence totale sur la manière dont les données personnelles sont collectées, utilisées, stockées et partagées 🖊Consentement : S’assurer que le consentement des utilisateurs pour la collecte et le traitement de leurs données est obtenu de manière explicite et documentée 🖊Gestion des Cookies : Mettre en place une gestion transparente des cookies sur le site web 🖊Sécurité : Renforcer les mesures de sécurité pour protéger les données personnelles contre les violations. Cela peut inclure le chiffrement des données, l’authentification forte, et des protocoles de sécurité robustes. 🖊Formation des Employés : Sensibiliser et former les employés à l’importance de la protection des données 🖊Gestion des Fournisseurs : Évaluer et sélectionner soigneusement les fournisseurs et sous-traitants en s’assurant qu’ils respectent les normes de protection des données. 🖊Réponse aux Violations de Données : Mettre en place un plan de réponse aux violations de données, en spécifiant les étapes à suivre en cas de compromission de la sécurité des données, et informer les autorités compétentes dans les délais requis. 🖊Audit de Conformité : Réaliser des audits réguliers pour évaluer la conformité aux lois sur la protection des données et apporter des ajustements si nécessaire. 🖊Documentation Rigoureuse : Tenir des registres précis de toutes les activités de traitement des données, y compris les motifs de collecte, les bases légales, et les mesures de sécurité mises en place. 🖊Analyse d’Impact relative à la Protection des Données : Effectuer des évaluations d’impact sur la protection des données lorsque cela est nécessaire, en particulier lors de nouveaux projets ou de changements importants dans le traitement des données.
En adoptant ces résolutions, un entrepreneur peut contribuer à instaurer une culture de la protection des données au sein de son entreprise, garantissant ainsi le respect des lois et la confiance des clients et des partenaires.
Il est également recommandé de consulter un professionnel du droit spécialisé en protection des données pour obtenir des conseils adaptés à la situation spécifique de l’entreprise.
par l’article 11 de la Déclaration des droits de l’homme et du citoyen, adoptée le 24 août 1789,
« La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »
par l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales signée le l4 novembre 1950
« 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontière. Le présent article n’empêche pas les États de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision à un régime d’autorisations.
2. L’exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d’autrui, pour empêcher la divulgation d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire. »
La liberté d’expression sur internet
La liberté d’expression va de pair avec la liberté d’opinion, la liberté de la presse, la liberté d’association, la liberté de réunion, la liberté de manifestation. chacun a le droit d’exprimer sa pensée, ses idées, ses croyances, et chacun a le droit d’être informé et de pouvoir diffuser des informations.
Cette liberté d’expression s’exerce bien évidemment sur internet et notamment via les réseaux sociaux.
La liberté d’expression et d’opinion peut, en effet, s’exercer sur tout support de communication.
Il est notamment prévu que « la communication au public par voie électronique est libre » dans la loi pour la confiance dans l’économie numérique du 21 juin 2004.
Les limites à la liberté d’expression
Si la liberté d’expression est un principe fondamental des sociétés démocratiques, elle ne peut cependant pas s’exercer sans limites.
Les limites sont notamment posées par la loi du 29 juillet 1881 sur la liberté de la presse et par le code pénal.
Dans la sphère publique, et notamment sur internet, si l’internaute est libre de penser ce qu’il souhaite et de publier ses pensées, il ne doit pas porter atteinte aux autres.
S’il est aisé de publier et de commenter sur les réseaux sociaux, la responsabilité de l’auteur peut être engagée pénalement et civilement si les propos portent atteinte à des tiers.
En cas d’atteinte
Soyez vigilant lorsque vous rédigez vos contenus ou lorsque vous relayez des informations.
Si certaines publications entrent dans le champ des infractions pénales et vous portent préjudice, il vous est conseillé de:
conserver les preuves des publications, notamment par captures d’écrans
signaler les contenus malveillants auprès des plateformes sur lesquelles ils sont publiés
signaler les contenus sur le portail Pharos du Ministère de l’Intèrieur:
La CNIL a prononcé, en formation restreinte, une amende de 1 million d’euros contre la société TOTALENERGIES ELECTRICITE E GAZ pour non respect des droits des personnes.
La CNIL avait reçu des plaintes de clients ou anciens clients de la société qui avaient demandé expressément à accéder à leurs données personnelles et souhaitaient s’opposer à tout appel de prospection commerciale, sans succès.
Des controles ont été opérés par la CNIL qui ont conforté le non respect des droits d’accès et d’opposition, justifiant la sanction prononcée.
Il a notamment été constaté un manquement à l’obligation de permettre aux personnes de s’opposer à de la prospection commerciale car le formulaire de souscription du contrat d’énergie ne permettait pas à l’internaute de s’opposer à l’utilisation de ses données personnelles afin de recevoir ultérieurement des offres commerciales.
Par ailleurs le droit à l’information n’était pas non plus respecté car les informations essentielles concernant le traitement de leurs données n’étaient pas communiquées aux personnes contactées. En outre, la société n’a pas tenu compte des demandes des clients en ne répondant pas aux demandes d’accès ou aux demandes d’opposition à prospection commerciale.
Il est pourtant prévu un délai de réponse de 1 mois par le RGPD.
La CNIL vient de clôturer l’injonction qu’elle avait prononcé contre FACEBOOK depuis le 31/12/2021.
En effet, le 31 décembre dernier, la CNIL condamnait la société FACEBOOK IRELAND LIMITED, devenue META PLATFORMS IRELAND LIMITED à une amende de 60 millions d’euros et lui adresser une injonction de mise en conformité sous astreinte de 100 000 euros par jour de retard.
Cette injonction portait sur la possibilité offerte aux utilistauers du réseau social de refuser les cookies aussi facilement que de les accepter.
Un délai de 3 mois était accordé à FACEBOOK pour se mettre en conformité, sous peine de devoir payer une astreinte de 100 000,00 € par jour de retard, passé ce délai.
La société META PLATFORMS IRELAND LIMITED a mis en place un bouton de refus intitulé « Uniquement autoriser les cookies essentiels » au-dessus du bouton d’acceptation intitulé « Autoriser les cookies essentiels et optionnels », et a ainsi satsifait à l’injonction prononcée, la formation restreinte de la CNIL a donc décidé de clore la procédure le 11 juillet 2022.
En matière de protection des données personnelles, il existe plusieurs droits pour les personnes concernées par la collecte de leurs données.
Droit à l’information et consentement
Il y a d’abord le droit à l’information et le consentement.
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information préalable à la collecte, claire et précise des personnes sur :
l’identité du responsable du fichier ;
la finalité du fichier ;
le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
les destinataires des données ;
leurs droits (droit d’accès, de rectification, et d’opposition) ;
les éventuels transferts de données vers des pays hors UE.
Lorsque le consentement est requis, notamment en cas de collecte de données sensibles, d’utilisation de données à des fins de prospection commerciale par voie électronique ou de réutilisation de données à d’autres fin, mais également pour l’utilisation de cookies, ce consentement doit être préalable, libre et spécifique.
Contrairement à une idée reçue, le consentement n’est pas toujours nécessaire pour la collecte de données personnelles. Le RGPD prévoit plusieurs bases justifiant la collecte de données. C’est notamment le cas d’un contrat. Pour l’application et l’exécution d’un contrat, la collecte de données personnelles peut être nécessaire. L’acceptation du contrat engendre l’acceptation de la collecte de ces données.
Proportionnalité, accès, rectification, opposition
Les données collectées doivent être proportionnées au but recherché.
Il y a également les droits d’accès, de rectification, d’opposition.
Une fois que les données personnelles ont été collectées, la personne concernée a droit d’accéder aux informations qui la concerne, à en obtenir copie. Si elle constate des erreurs, elle peut exiger que ses données soient complétées, rectifiées ou mises à jour.
Elle peut également demander que ces données soient supprimées selon les cas, notamment lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou lorsque les données sont traitées de manière illégitime.
La personne peut s’opposer à ce que ses données soient réutilisées notamment à des fins commerciales.
Le principe veut que toute personne puisse s’opposer au traitement de ses données personnelles, et ce pour des raisons légitimes, sauf si cette collecte répond à une obligation légale (casier judiciaire, trésor public notamment).
Parfois, l’opposition empêche la signature ou la mise en œuvre d’un contrat
Après avoir exercé son droit d’accès, si la personne concernée le désire et que c’est techniquement possible, elle peut transmettre les données recueillies à un autre responsable de traitement. C’est le droit à la portabilité.
Pour plus de précisions, n’hésitez pas à consulter le site de la CNIL ou à contacter notre cabinet.
Maggy RICHARD, Avocate de CABINITIO Avocats est formée à la protection des données et peut vous aider à mettre en conformité vos fichiers avec le RGPD.
En qualité de Délégué à la Protection des Données, je peux vous apporter un accompagnement afin de mettre en conformité vos traitements avec le RGPD et la Loi Informatique et Libertés.
Je procéderai à un examen attentif de vos traitements de données à caractère personnel, et ce, traitement par traitement.
Nous vérifierons préalablement quels traitements traitent de données à caractère personnel, éventuellement des données particulières (sensibles), puis nous nous attacherons à contrôler que ces traitements répondent à une des bases légales et respectent les principes fixés par le RGPD, à savoir :
– Collecte licite, loyale et transparente des informations
– Finalités déterminées, explicites et légitimes du traitement
– Pertinence et minimisation
– Les données à caractère personnel doivent être exactes et si nécessaire tenues à jour
– Sécurité des données
– Conservation limitée
– Catégories particulières de données interdites par principe, sauf exceptions
Je pourrai sensibiliser vos équipes à l’application du RGPD, à la gestion des données à caractère personnel et des droits des personnes concernées.
Il conviendra de préparer des procédures pour la mise en œuvre des droits des personnes dont les données sont collectées (droit à l’information, droit d’accès, rectification, effacement, limitation, portabilité, opposition, décision individuelle), mais également en cas de violation des données ou en cas de contrôle de la CNIL, le cas échéant prévoir une analyse d’impact.
Il est rappelé, en effet, qu’il appartient à chaque responsable de traitement de prendre des mesures techniques et organisationnelles appropriées afin de respecter le RGPD et être à même de le démontrer.
Nous étudierons les relations contractuelles que vous pouvez avoir avec des responsables de traitements ou avec des sous-traitants.
AVOCAT ET RGPD
Je peux apporter une assistance au DPO interne de votre structure : entreprise, administration, association.
En cas de coresponsabilité avec un autre responsable de traitement ou en cas de sous-traitance, en ma qualité d’avocat, je peux vous proposer la rédaction de contrats adaptés ou le contrôle de vos contrats en cours.
Je peux, bien évidemment, vous assister dans le cadre de procédures contentieuses ou dans un processus amiable (médiation, droit collaboratif, procédure participative).
Cette assistance peut également être apportée aux personnes dont les données ont été collectées, afin de faire respecter leurs droits.
VOTRE CONTACT/
Maggy RICHARD
Avocate au Barreau de NANCY
Angle 23 avenue Paul Déroulède – 8 avenue Sainte Anne 54520 LAXOU
