Le RGPD, la CNIL et Moi .. de Paris à Toulouse !

Déjà 6 mois que le RGPD est opérationnel et de fait la CNIL applique le RGPD, et pas qu'à Paris. L'Occitanie n'y échappe pas et la CNIL a fini d'être pragmatique sur le sujet !

D’ailleurs il y a moins de 15 jours, la délibération n° 2018-348 du 8 novembre 2018 est venue confirmer l’habilitation des agents de la CNIL, par période de 5 ans renouvelable, à procéder à des missions de vérification et de contrôle de la mise en œuvre des traitements RGPD :

« Les membres de la Commission nationale de l'informatique et des libertés, …ont accès de six heures à vingt et une heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements :

-      servant à la mise en œuvre d'un système de vidéo-protection, à l'exclusion des parties de ceux-ci affectées au domicile privé ( art. L.253-3 du code de la sécurité intérieure)

-      servant à la mise en oeuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de ceux-ci affectées au domicile privé (article 44 de la loi du 6 janvier 1978 modifiée) »

Sur le terrain, Les agents de la CNIL, soit plus d’une centaine d’intervenants habilités actuellement, sont dorénavant entrés dans une phase très active de contrôle de la mise en oeuvre des traitements de données personnelles par les entreprises et organismes et l’application du Règlement européen portant sur la protection des données personnelles étant désormais effective, la crainte de la sanction financière est palpable chez les entreprises.

 Et là où les entreprises imaginaient une certaine tolérance ou délai de la part de la Commission, cette dernière fait maintenant preuve d’une sévérité de principe quel que soit le statut et la taille des entreprises contrôlées (entreprises, groupes, start up, association …). En moins de 3 mois, sur la période de Mai à Juin 2018, la CNIL a rendu 6 délibérations, et encore il y a quelques jours une mise en demeure publique à l’attention d’une PME (- de 50 Salariés) qui collectait des données personnelles via smartphone pour de campagnes publicitaires et qui n'a que 3 mois pour tout régulariser !

Toutes les délibérations intervenues depuis Mai 2018 ont porté sur des problèmes de sécurité d’accès aux données de sites internet ou plateformes web d’entreprises, sur le détournement de finalité du message publicitaire, sur la non-conformité d’un dispositif de vidéoprotection ou encore sur le traitement des données de géolocalisation d’utilisateurs de smartphones, qui malgré un consentement de principe n’ont pas pu donner un consentement qualifié d'informé, libre et spécifique…

La CNIL a bien élargi son champ d’action pour ne plus se concentrer uniquement sur les Gafa et autres sociétés commerciales et des amendes ont été données allant de 30.0000 € à 250.000€. 

Le seul moyen de se mettre à l’abri du RGPD est maintenant de mener les actions de conformité nécessaires qui prouveront votre démarche de mise en conformité :

• Il ne suffit pas de nommer un responsable des données personnelles
• il ne suffit pas d'avoir signalé votre intérêt sur votre site web ou publié une simple charte d'engagements RGPD ou Cookies.
• il ne suffit pas d'avoir audité ses processus et de les connaître.

Notamment par exemple, pour les services commerciaux et marketing, outre la caractéristiques des données personnelles collectées et pour quelle finalité précise, il vous faut aussi conserver et donc organiser la preuve du consentement acquis lors de la collecte d’un contact, systématiquement et de façon permanente, que ce soit pour le passé, pour le présent ou pour l'avenir. Si la CNIL est amenée à effectuer un jour ou l’autre un contrôle de la collecte et l'utilisation de votre fichier clients et des traitements que vous en faites, si vous n’êtes pas en conformité sur la gestion de ce fichier, vos données de prospection pourront être effacées.

Projecteec SAS vous propose un accompagnement dans la mise en conformité RGPD de votre structure, de l’audit initial des processus organisationnels et techniques, jusqu'à la rédaction de vos divers registres de traitements et leurs qualifications, en relation avec les intervenants de votre écosystème.

Nous proposons en outre une externalisation possible de la mission de DPO au long cours, pour les entreprises qui le souhaitent et ainsi assurer une information, une veille légale et une mise à jour continue des registres.

Pour plus d’information, contactez Arnaud GARCIA à contact@projecteec.com ou au 06 84 80 39 98