La CNIL a prononcé, en formation restreinte, une amende de 1 million d’euros contre la société TOTALENERGIES ELECTRICITE E GAZ pour non respect des droits des personnes.
La CNIL avait reçu des plaintes de clients ou anciens clients de la société qui avaient demandé expressément à accéder à leurs données personnelles et souhaitaient s’opposer à tout appel de prospection commerciale, sans succès.
Des controles ont été opérés par la CNIL qui ont conforté le non respect des droits d’accès et d’opposition, justifiant la sanction prononcée.
Il a notamment été constaté un manquement à l’obligation de permettre aux personnes de s’opposer à de la prospection commerciale car le formulaire de souscription du contrat d’énergie ne permettait pas à l’internaute de s’opposer à l’utilisation de ses données personnelles afin de recevoir ultérieurement des offres commerciales.
Par ailleurs le droit à l’information n’était pas non plus respecté car les informations essentielles concernant le traitement de leurs données n’étaient pas communiquées aux personnes contactées. En outre, la société n’a pas tenu compte des demandes des clients en ne répondant pas aux demandes d’accès ou aux demandes d’opposition à prospection commerciale.
Il est pourtant prévu un délai de réponse de 1 mois par le RGPD.
La CNIL vient de clôturer l’injonction qu’elle avait prononcé contre FACEBOOK depuis le 31/12/2021.
En effet, le 31 décembre dernier, la CNIL condamnait la société FACEBOOK IRELAND LIMITED, devenue META PLATFORMS IRELAND LIMITED à une amende de 60 millions d’euros et lui adresser une injonction de mise en conformité sous astreinte de 100 000 euros par jour de retard.
Cette injonction portait sur la possibilité offerte aux utilistauers du réseau social de refuser les cookies aussi facilement que de les accepter.
Un délai de 3 mois était accordé à FACEBOOK pour se mettre en conformité, sous peine de devoir payer une astreinte de 100 000,00 € par jour de retard, passé ce délai.
La société META PLATFORMS IRELAND LIMITED a mis en place un bouton de refus intitulé « Uniquement autoriser les cookies essentiels » au-dessus du bouton d’acceptation intitulé « Autoriser les cookies essentiels et optionnels », et a ainsi satsifait à l’injonction prononcée, la formation restreinte de la CNIL a donc décidé de clore la procédure le 11 juillet 2022.
En matière de protection des données personnelles, il existe plusieurs droits pour les personnes concernées par la collecte de leurs données.
Droit à l’information et consentement
Il y a d’abord le droit à l’information et le consentement.
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information préalable à la collecte, claire et précise des personnes sur :
l’identité du responsable du fichier ;
la finalité du fichier ;
le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
les destinataires des données ;
leurs droits (droit d’accès, de rectification, et d’opposition) ;
les éventuels transferts de données vers des pays hors UE.
Lorsque le consentement est requis, notamment en cas de collecte de données sensibles, d’utilisation de données à des fins de prospection commerciale par voie électronique ou de réutilisation de données à d’autres fin, mais également pour l’utilisation de cookies, ce consentement doit être préalable, libre et spécifique.
Contrairement à une idée reçue, le consentement n’est pas toujours nécessaire pour la collecte de données personnelles. Le RGPD prévoit plusieurs bases justifiant la collecte de données. C’est notamment le cas d’un contrat. Pour l’application et l’exécution d’un contrat, la collecte de données personnelles peut être nécessaire. L’acceptation du contrat engendre l’acceptation de la collecte de ces données.
Proportionnalité, accès, rectification, opposition
Les données collectées doivent être proportionnées au but recherché.
Il y a également les droits d’accès, de rectification, d’opposition.
Une fois que les données personnelles ont été collectées, la personne concernée a droit d’accéder aux informations qui la concerne, à en obtenir copie. Si elle constate des erreurs, elle peut exiger que ses données soient complétées, rectifiées ou mises à jour.
Elle peut également demander que ces données soient supprimées selon les cas, notamment lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou lorsque les données sont traitées de manière illégitime.
La personne peut s’opposer à ce que ses données soient réutilisées notamment à des fins commerciales.
Le principe veut que toute personne puisse s’opposer au traitement de ses données personnelles, et ce pour des raisons légitimes, sauf si cette collecte répond à une obligation légale (casier judiciaire, trésor public notamment).
Parfois, l’opposition empêche la signature ou la mise en œuvre d’un contrat
Après avoir exercé son droit d’accès, si la personne concernée le désire et que c’est techniquement possible, elle peut transmettre les données recueillies à un autre responsable de traitement. C’est le droit à la portabilité.
Pour plus de précisions, n’hésitez pas à consulter le site de la CNIL ou à contacter notre cabinet.
Maggy RICHARD, Avocate de CABINITIO Avocats est formée à la protection des données et peut vous aider à mettre en conformité vos fichiers avec le RGPD.
En qualité de Délégué à la Protection des Données, je peux vous apporter un accompagnement afin de mettre en conformité vos traitements avec le RGPD et la Loi Informatique et Libertés.
Je procéderai à un examen attentif de vos traitements de données à caractère personnel, et ce, traitement par traitement.
Nous vérifierons préalablement quels traitements traitent de données à caractère personnel, éventuellement des données particulières (sensibles), puis nous nous attacherons à contrôler que ces traitements répondent à une des bases légales et respectent les principes fixés par le RGPD, à savoir :
– Collecte licite, loyale et transparente des informations
– Finalités déterminées, explicites et légitimes du traitement
– Pertinence et minimisation
– Les données à caractère personnel doivent être exactes et si nécessaire tenues à jour
– Sécurité des données
– Conservation limitée
– Catégories particulières de données interdites par principe, sauf exceptions
Je pourrai sensibiliser vos équipes à l’application du RGPD, à la gestion des données à caractère personnel et des droits des personnes concernées.
Il conviendra de préparer des procédures pour la mise en œuvre des droits des personnes dont les données sont collectées (droit à l’information, droit d’accès, rectification, effacement, limitation, portabilité, opposition, décision individuelle), mais également en cas de violation des données ou en cas de contrôle de la CNIL, le cas échéant prévoir une analyse d’impact.
Il est rappelé, en effet, qu’il appartient à chaque responsable de traitement de prendre des mesures techniques et organisationnelles appropriées afin de respecter le RGPD et être à même de le démontrer.
Nous étudierons les relations contractuelles que vous pouvez avoir avec des responsables de traitements ou avec des sous-traitants.
AVOCAT ET RGPD
Je peux apporter une assistance au DPO interne de votre structure : entreprise, administration, association.
En cas de coresponsabilité avec un autre responsable de traitement ou en cas de sous-traitance, en ma qualité d’avocat, je peux vous proposer la rédaction de contrats adaptés ou le contrôle de vos contrats en cours.
Je peux, bien évidemment, vous assister dans le cadre de procédures contentieuses ou dans un processus amiable (médiation, droit collaboratif, procédure participative).
Cette assistance peut également être apportée aux personnes dont les données ont été collectées, afin de faire respecter leurs droits.
VOTRE CONTACT/
Maggy RICHARD
Avocate au Barreau de NANCY
Angle 23 avenue Paul Déroulède – 8 avenue Sainte Anne 54520 LAXOU
Vous avez besoin d’un DPO externe ou d’un appui pour votre DPO interne, n’hésitez pas à contacter Maggy RICHARD
Elle est formée à la protection des données et peut aider les petites entreprises, artisans, commerçants qui ne disposent pas d’un délégué en interne pour leur mise en conformité avec le RGPD.
Elle pourra réaliser un audit dans l’entreprise pour prendre connaissance des fichiers utilisés qui nécessitent la collecte de données personnelles, vérifier les données collectées, la sécurité appliquée, si les droits des personnes concernées sont respectés (information, accès, rectification, opposition), etc.
Depuis 13 années désormais, Maggy RICHARD accompagne ses clients, particuliers et entreprises, principalement dans la gestion de leurs conflits, par le biais de processus amiables ou de procédures judiciaires. Elle intervient dans divers domaines du droit, responsabilité civile contractuelle ou délictuelle, droit des personnes et de la famille, mais également dans des matières plus spécifiques comme la propriété intellectuelle.
Elle est notamment titulaire d’un master 2 en droit du multimédia et des systèmes d’information et récemment elle a souhaité réaliser une formation dédiée à la protection des données personnelles.
Accompagnement des responsables de traitements de données à caractere personnel
Aujourd’hui, elle est en mesure de proposer un accompagnement aux professionnels qui sont responsables de traitements de données à caractère personnel.
Entreprises, associations, administrations, traitent fréquemment de données personnelles que ce soit au sein de fichiers informatisés ou papier pour la gestion de leurs clients, de leurs prospects, la gestion du personnel, du recrutement, la gestion d’adhérents, des études statistiques, de la vidéosurveillance, etc.
Or en tant que responsable de ces traitements ou sous-traitant du responsable, ils doivent respecter l’application du RGPD Règlement européen sur la protection des données.
Rôle du Délégué à la protection des données DPO
Il peut être obligatoire ou recommandé de désigner un Délégué à la protection des données ou DPO Data protection officer car le RGPD oblige les entreprises à mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Le DPO va s’assurer du respect de cette obligation et piloter la mise en œuvre de l’ensemble des process dédiés à la conformité juridique des traitements. Il doit être associé à chaque projet susceptible d’impacter la vie privée des personnes et la protection de leurs données.
Maggy RICHARD peut être DPO externalisé et apporter un accompagnement aux responsables de traitements de données à caractère personnel et leurs sous-traitants, afin de mettre en conformité leurs traitements avec le RGPD et la Loi Informatique et Libertés.
Elle sera notamment amenée, dans le cadre de cette activité, à :
Recenser quels traitements traitent de données à caractère personnel, éventuellement des données particulières (dites sensibles),
Contrôler que ces traitements répondent à une des bases légales
Vérifier le respect des principes fixés par le RGPD, à savoir :
Collecte licite, loyale et transparente des informations
Finalités déterminées, explicites et légitimes du traitement
Pertinence et minimisation des données
Les données à caractère personnel doivent être exactes et si nécessaire tenues à jour
Sécurité des données
Conservation limitée
Catégories particulières de données interdites par principe, sauf exceptions
Sensibiliser le personnel à l’application du RGPD, à la gestion des données à caractère personnel et des droits des personnes concernées.
Etudier les relations contractuelles entre responsables de traitements et sous-traitants
En sa qualité d’avocate formée au RGPD, elle peut également assister un DPO interne au sein d’une structure (entreprise, administration, association) pour vérifier avec lui la conformité des traitements de données à caractère personnel et apporter des pistes de réflexion en cas de difficultés rencontrées.
Elle peut rédiger des contrats adaptés ou contrôler des contrats déjà en cours d’exécution, notamment en cas de coresponsabilité avec un autre responsable de traitement ou en cas de sous-traitance.
Enfin, cas de litige, elle peut, bien évidemment, assister les responsables de traitements ou les sous-traitants dans le cadre de procédures contentieuses ou dans un processus amiable (médiation, droit collaboratif, procédure participative).
Cette assistance peut également être apportée aux personnes dont les données ont été collectées, afin de faire respecter leurs droits.
Pour plus d’informations, n’hésitez pas à nous contacter par email à contact@cabinitio-avocats.fr ou téléphone au 03 57 29 13 61.