2021 Vos obligations pour les données personnelles et libertés individuelles

La protection des données personnelles et des libertés individuelles est devenue un sujet sensible. La vigilance est donc une priorité afin de ne pas se retrouver dans une situation inextricable. Toute entreprise collecte et utilise des informations personnelles sur ses prospects et ses clients. Afin de protéger la vie privée et préserver les libertés individuelles de chaque individu, le droit français prévoit des règles strictes à respecter sous peine de sanctions. Focus sur vos obligations en matière de données personnelles et libertés individuelles.

Baromètre RGPD 2021 : 3 ans après ?

Chaque année, Data Legal Drive met à jour le baromètre RGPD en partenariat avec Lefebvre Dalloz et l’AFJE (l’Association française des juristes d’entreprise) qui établit un état d’avancement de la mise en conformité des entreprises après la mise en application du RGPD. Ce sondage réalisé, du 08.04 au 02.05.2021 (publié le 24.05.2021), auprès de DPO internes et externes et de juristes, met en lumière l’avis des professionnels de la data et de la privacy des secteurs privé et public, de toutes les tailles et de tous les secteurs d’activité.

Le temps des bouleversements

Depuis un an, le contexte de la crise sanitaire, les nouveaux modes de travail, le Brexit, l’invalidation du Privacy Shield ou encore les nouvelles directives de la CNIL concernant les cookies ont accéléré les défauts de sécurité des sites internet avec 24 % de signalements en plus en 2020. Entre l’accélération de la digitalisation des activités et l’augmentation des cyberattaques, les entreprises et collectivités ont développé de nouvelles stratégies dédiées à la protection des données personnelles. L’enquête a été réalisée auprès de 348 DPO internes et externes et juristes dont les 3/4 sont du secteur privé. Plus d’1/3 sont des entreprises de taille intermédiaire (ETI), 1/3 des petites et moyennes entreprises (PME) et 1/3 des très petites entreprises (TPE) et grandes entreprises.

La crise sanitaire  et le RGDP, un binôme ?

1 entreprise sur 2 a un bon niveau de conformité RGPD. Plus d’une entreprise sondée sur deux estime avoir atteint un bon niveau de conformité. La situation sanitaire aura finalement été favorable à la gouvernance des données personnelles au sein des entreprises et des organismes publics qui sont près de la moitié (47 %) à estimer avoir atteint un niveau de complétude supérieur à 70 %. Toutefois, 37 % des structures révèlent un taux de complétude inférieur à 50 %.  RGPD apparaît comme une démarche transverse, permanente et vertueuse. Pour 32 % des entreprises sondées, le RGPD est une obligation réglementaire ; pour 27 %, il s’agit d’une contrainte technique et /ou juridique et pour 22 %, le RGPD est un devoir de transparence et une marque de respect.

Crise sanitaire et cyberattaques

2 fois plus d’entreprises ont renforcé leur sécurité. 65 % des structures interrogées ont accéléré et renforcé leur sécurité en instaurant de nouvelles mesures, c’est deux fois plus que l’an dernier. Les lourdes sanctions émises par la CNIL à l’encontre de sociétés et la multiplication des risques liés aux cyberattaques et à la sécurité des données ont permis de déclencher des actions de la part des entreprises et organismes publics :

• 1/3 des DPO ont mis en place des mesures de sécurité conformes à l’article 32 du RGPD ;

• 64 % ont réalisé des audits du niveau de sécurité de leur site internet : protocole https, formulaires de recueils de données, etc.

Quel est le principe général des obligations ?

Une déclaration

Toute collecte de données personnelles doit faire l’objet d’une déclaration préalable auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés). Dans la majorité des cas, il s’agit de fichiers de prospects et de clients, dans le cas des entreprises.
Avant de procéder à votre déclaration, vous devez avoir vérifié que votre fichier répond à toutes les obligations légales et avoir déterminé :

La finalité doit être, dans tous les cas, respectée.

Ainsi,
– l’utilisation que vous ferez des données : par exemple gestion du recrutement, gestion de la clientèle, enquête de satisfaction, etc.
– à quoi vont vous servir les données. Il convient de noter que tout fichier ne peut être réutilisé à des fins autres que celles initialement définies. Par exemple, il n’est pas justifié de demander le numéro de sécurité sociale (ou NIR) d’un client pour alimenter un fichier dont la finalité est la gestion des achats.

La durée

L’entreprise ne peut conserver indéfiniment les informations collectées. Elle doit arrêter une durée de conservation de ces dernières. Cependant, selon le but poursuivi, les informations enregistrées dans le fichier pourront être conservées plus ou moins longtemps. Ainsi lorsqu’un abonné à une newsletter demande à se désabonner ses données doivent être supprimées du fichier de gestion.

La confidentialité

N’importe qui au sein de l’entreprise ne peut pas gérer ou accéder aux données, l’entreprise doit désigner au sein de son équipe la ou les personnes habilitée(s) ;

La sécurité

L’entreprise doit s’assurer qu’elle met en place les procédures nécessaires pour assurer la sécurité physique et informatique des informations. Pour aider les PME, la CNIL a publié un guide sécurité des données personnelles qui propose dans des fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données à caractère personnel.
Aussi, il est important de noter que vous devez procéder à autant de déclarations que vous avez de fichiers. De plus, si vous prévoyez de transférer les données collectées hors de l’Union Européenne, vous devez veiller à respecter la réglementation en la matière, qui autorise ces transferts uniquement dans des cas bien spécifiques.

Comment déclarer votre fichier ?

Une fois les différents paramètres définis, vous pouvez déclarer votre fichier en ligne sur le site internet www.cnil.fr. Vous sélectionnez ensuite le formulaire adapté (dans la majorité des cas, il s’agit du formulaire de déclaration simplifiée), puis suivez les différentes étapes de la procédure (identification de l’entreprise, finalité du fichier…).
Une fois votre déclaration envoyée, vous recevez une première confirmation vous informant du traitement de votre demande. Après vérification de votre dossier, la CNIL vous transmet alors un récépissé de déclaration si celle-ci est conforme ou vous notifie de modifier votre déclaration si celle-ci est incomplète et/ou ne respecte pas les règles de gestion. Dans un souci de traitement rapide de votre dossier, optez pour le suivi dématérialisé de votre démarche. En général, vous obtenez une réponse de la CNIL dans les jours suivants votre demande.
A réception de votre récépissé, vous pouvez dès lors mettre en œuvre votre fichier, et seulement à partir de ce moment-là sous peine de sanctions.

N’oubliez pas la mention pour supprimer, rectifier des informations

Vous venez certes d’obtenir l’autorisation de la CNIL pour collecter des données, mais vous devez encore respecter une règle primordiale, celle du droit d’accès, de rectification et de suppression des informations collectées. En effet, chaque individu présent dans votre fichier doit pouvoir faire valoir ce droit et en être informé, par le biais d’une mention légale spécifique. Pour vous aider, la CNIL met à votre disposition sur son site internet différents modèles.

Quels sont les risques encourus ?

En cas de non-respect d’une ou plusieurs des obligations relatives aux données informatiques et libertés individuelles, vous soumettez votre entreprise à de lourdes sanctions. Le code pénal prévoit, pour la majorité des infractions dans ce domaine, des condamnations à des peines allant jusqu’à 5 ans de prison et à des amendes jusqu’à 300 000 euros.

Soyez vigilant !

Quitter la version mobile