Malgré de nombreuses condamnations par la formation restreinte de la CNIL depuis l’entrée en vigueur du RGPD, la CNIL privilégiait jusqu’alors une démarche de sensibilisation de l’ensemble des acteurs du traitement de données personnelles
L’heure n’est toutefois plus à la clémence et les chantiers de mise en conformité doivent être, selon les cas, débutés, maintenus ou poursuivis au regard des prochaines échéances à venir.
Echéance sur l’analyse d’impact relative à la protection des données (AIPD) : 25 mai 2021
Tout traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées doit faire l’objet d’un Analyse d’Impact relative à la Protection des Données (AIPD), conformément aux dispositions de l’article 35 du RGPD.
La CNIL a adopté une liste comportant quinze types d’opérations de traitements pour lesquelles une AIPD est requise. Aussi, cette liste n’étant pas exhaustive, une AIPD est également requise pour les opérations de traitement remplissant au moins deux des six critères suivants selon les lignes directrices établies par le G29 :
-
Evaluation, Notation (y compris profilage) ;
-
Prise de décision automatisée avec effet juridique ou effet similaire significatif ;
-
Surveillance systématique ;
-
Collecte de données sensibles ou données à caractère hautement personnel ;
-
Collecte de données personnelles traitées à grande échelle ;
-
Croisement ou combinaison de données ;
-
Données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
-
Traitements impliquant un usage innovant (utilisation d’une nouvelle technologie) ;
-
Opérations de nature à exclure le bénéfice d’un droit/contrat.
Tenant compte des difficultés de l’ensemble des opérateurs concernant les traitement réalisés antérieurement à l’entrée en vigueur du RGPD et afin de simplifier les processus de mise en conformité, l’autorité de contrôle n’a pas exigé la réalisation immédiate d’analyses d’impact pour les traitements existants. Les traitements antérieurs au 25 mai 2018 bénéficiaient ainsi d’une exemption jusqu’au 25 mai 2021.
Soyez ainsi attentif à cette échéance prochaine, la décision d’engager et mener une analyse d’impact relevant de votre responsabilité en tant qu’organisme responsable de traitement.
Le montant des amendes peut s'élever jusqu'à 10 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu selon les dispositions applicables (article 83(4)(a) du RGPD).
Echéance concernant les cookies et traceurs : mars 2021
Dans sa délibération du 17 septembre 2020, la CNIL a présenté des lignes directrices dont l’objet principal est de rappeler et d’expliciter le droit applicable à l’usage de cookies et traceurs.
La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy. Le délai de mise en conformité aux nouvelles règles ne saurait excéder six mois, soit au plus tard fin mars 2021.
Cinq évolutions majeures doivent ainsi être intégrées à vos process afin de déposer des cookies et traceurs sur les appareils des utilisateurs :
1. Recueil du consentement
La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute.
Aussi, les personnes doivent consentir au dépôt de traceurs par un acte positif clair. EN pratique, la CNIL suggère la mise en place d’un bouton « j’accepte » dans une bannière cookie. A défaut d’acceptation, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
2. Retrait du consentement
Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
3. Refus de dépôt de cookies et traceurs
Vous devez permettre aux utilisateurs de choisir de refuser l’application de cookies et traceurs aussi aisément que leur acceptation.
4. Informations à fournir
Informez clairement vos utilisateurs des finalités des traceurs avant qu’ils consentent à leur dépôt, ainsi que des conséquences qui s’attachent à une acceptation ou un refus.
Renseignez l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
5.Preuve du recueil du consentement
Vous devez être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Echeance sur le transfert de données vers un pays tiers : juillet 2021
Outre les difficultés que soulève l’invalidation du Privacy shield concernant flux de données vers les Etats-Unis, la problématique des transferts de données vers les pays tiers concerne à présent le Royaume-Uni.
En effet, depuis le 31 janvier 2020, le Royaume-Uni est devenu un pays tiers de l’Union Européenne. Les parties ont convenu que l’application du RGPD serait maintenue jusqu’au 1er juillet 2021.
Après cette échéance et à défaut de conclusion d’un contrat-cadre avec l’Union Européenne entre-temps, l’ensemble des transferts de données personnelles vers le Royaume-Uni devra être rigoureusement encadré selon les garanties appropriées prévues par le RGPD.
Nous vous recommandons d’être prudent, et d’anticiper l’absence de tout contrat cadre en mettant dès à présent en œuvre des mesures supplémentaires pour assurer un niveau de protection essentiellement équivalent à celui prévu dans l’EEE.
Concernant vos contrats de sous-traitance (par exemple, hébergement de vos données), lorsqu’aucune mesure supplémentaire ne peut garantir un niveau de protection substantiellement équivalent, insérer des clauses d’interdiction de transfert.
Aussi, la tenue régulière de vos registres de traitement s’impose compte tenu du principe d’accountability. Tout transfert de données vers un pays tiers doit y être rigoureusement détaillé.
