Smart News : Réforme de la protection des données personnelles : êtes-vous prêts?
IP/IT : Réforme de la protection des données personnelles : êtes-vous prêts?
Cela ne vous aura sûrement pas échappé mais la réglementation sur les données personnelles a connu des modifications tant au niveau national que communautaire.
C’est à la fois l’entrée en vigueur de la loi Lemaire au 7 octobre 2016 (« Loi pour une République numérique ») et du règlement sur les données personnelles, qui aura force obligatoire le 25 mai 2018.
Parmi les modifications majeures de ces réglementations : les sanctions. Celles-ci ont atteint des stades non négligeables pour les entreprises :
- Le plafond maximal des sanctions de la Commission Nationale Informatique & Libertés (« CNIL ») passe de 150.000 euros à 3 millions euros,
- Le règlement européen prévoit un plafond allant jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.
Ces sanctions auront un réel impact sur les entreprises, les montants pouvant atteindre des sommes qu’elles ne seront pas toujours en mesure d’assumer. Par ailleurs, l’impact négatif que cela produit sur leur image conduit souvent à une baisse notable du chiffre d’affaires pendant plusieurs semaines pour les entreprises épinglées par les autorités de contrôle.
L’autre changement, c’est le rôle des autorités de protection et notamment de la CNIL, qui voient leur pouvoir accru et leur contrôle se renforcer. En témoignent les deux mises en demeure, faites par la CNIL, le mois dernier auprès de Cdiscount et du Parti socialiste.
Pour l’entreprise Cdiscount, l’affaire a commencé par de nombreuses plaintes des consommateurs auprès de la CNIL relatives (notamment) à des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés. En réponse, la CNIL s’est mise à procéder à des missions de contrôle entre février et mars 2016. Ces contrôles avaient pour objet de vérifier les pratiques de traitements des données de Cdiscount au regard des dispositions de la loi informatiques et libertés. Ces contrôles ayant conduit au constat de multiples manquements, la présidente de la CNIL a décidé d’engager deux procédures: (i) une procédure de sanction avec un avertissement public et (ii) une procédure de mise en demeure.
(i) Les contrôles ont permis de détecter les manquements suivants :
- « La conservation en base de données de plusieurs millions de comptes d’anciens clients et prospects sans aucune suppression ni limitation de durée » ;
- « La conservation de plus de 4000 données bancaires, associées pour certaines à des cryptogrammes visuels de manière non sécurisée ».
Par conséquent la CNIL a décidé de donner un avertissement public à Cdiscount pour atteinte aux principes de sécurité, de confidentialité et de conservation.
(ii) Par ailleurs, la CNIL a également relevé de nombreux manquements à la loi de la part de Cdiscount s’agissant par exemple de la mise en œuvre d’un traitement de lutte contre la fraude à la carte bancaire sans autorisation préalable, le défaut de politique de mots de passe suffisamment robustes et le dépôt de cookies sans finalité déterminée, pour des durées excessives et sans information des personnes quant à leurs droits.
À la suite de ces constatations, une décision de mise en demeure a été prise, obligeant Cdiscount à se conformer à la loi dans un délai de 3 mois, renouvelable une fois. Cette décision a également été rendue publique.
De plus, la CNIL a réalisé que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes. De ce fait, la présidente de la CNIL a également décidé d’engager une procédure de sanction, et la formation restreinte de la CNIL a prononcé un avertissement public pour défaut de sécurité des données à caractère personnel et défaut de fixation d’une durée de conservation des données proportionnelle aux finalités du traitement.
Nous attirons votre attention sur le fait qu’une modification des pratiques, une fois l’enquête de la CNIL lancée, demeure sans effet sur les sanctions prononcées.
Pour faire face à ces nouvelles menaces, nous vous recommandons certaines pratiques telles que la nomination d’un « Data Protection Officer » (DPO) ; par ailleurs obligatoire pour certaines entreprises. Mais également de procéder à un audit des pratiques de votre entreprise, concernant la collecte et le traitement des données personnelles, qui permettra d’aboutir à des recommandations de mise en conformité. Enfin, c’est désormais une coresponsabilité qui unit sous-traitant et responsable de traitement. Auparavant, seul le donneur d’ordre était responsable. Les prestataires sont donc encouragés à se conformer aux exigences de leurs clients.
Enfin, il est rappelé que les violations de données à caractère personnel doivent être transmises à la CNIL dans les 24 heures suivants la constatation de la violation. De plus si toutes les informations requises ne peuvent pas être fournies dans ce délai car des investigations complémentaires sont nécessaires, une notification complémentaire devra être effectuée dans le délai de 72 heures après la notification initiale. Par conséquent, il est recommandé d’être particulièrement vigilant dans la rédaction des contrats informatiques vous liant avec vos prestataires afin de s’assurer de cette bonne information.