fbpx

Actualité DPO

rgpd et consentement aux cookies

Des Cookies Exemptes de Consentement ?

Des Cookies Exemptes de Consentement ? 1200 800 Optimex Data

Optimex Data traite du sujet du RGPD et consentement aux cookies

RGPD et consentement aux cookies

Après que la CNIL ait précisé ses lignes directrices et ses recommandations en matière de cookies et de traceurs notamment relatives au consentement de l’utilisateur, le 1er octobre 2020, elle semble maintenant s’interroger sur la nécessité de recueillir le consentement de l’utilisateur pour les cookies de mesure d’audience. Dans un précédent article, nous vous avions rappelé les lignes directrices de la CNIL et notamment le fait qu’elle exemptait de consentement les cookies dit « strictement nécessaires ». Mais alors, la CNIL est-t-elle sur le point d’assouplir sa position en la matière ?

La mise en place d’une évaluation pour les solutions de mesure d’audience

Afin de déterminer si une solution de mesure d’audience peut rentrer dans les conditions d’exemption de recueil préalable du consentement de l’utilisateur, la CNIL a lancé un programme d’évaluation. Cette évaluation a pour but de vérifier si les éléments de configuration des cookies de mesure d’audience, proposés par les fournisseurs peuvent rentrer dans les conditions d’exemption de recueil du consentement préalable de l’utilisateur. Elle n’est possible que « pour les sites web hébergés en France ou dont les utilisateurs en sont résidents ».

Pour rappel, pour être exempté de consentement les cookies ou traceurs doivent :

  • avoir une finalité strictement limitée à la seule mesure de l’audience du site (exemples : mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.
  • servir à réaliser uniquement des données statistiques anonymes.

Et ne doivent pas :

  • conduire à un recoupement des données avec d’autres traitements ou transmettre des données à des tiers ;
  • permettre le suivi global de la navigation de la personne.

Pour plus d’informations concernant l’évaluation des solutions de mesure d’audience par la CNIL et le dépôt de candidature pour présenter une solution éventuelle, veuillez consulter directement le site de la CNIL sur ce lien.

L’exemption de consentement n’entraîne pas d’exemption aux autres obligations relatives au RGPD

Ne pas avoir l’obligation de demander le consentement de l’utilisateur pour collecter des données ou réaliser un traitement de données, qui peut être fondé sur une autre base légale : exécution d’un contrat, intérêt légitime du Responsable de traitement ou encore obligation légalen’a pas pour résultat d’exempter le Responsable de traitement de ses autres obligations notamment en matière d’information des personnes ou de respect des droits.

C’est d’ailleurs sur ce point que DuckDuckGo – navigateur reconnu conforme avec le RGPD – a souligné le manque de transparence de Google concernant la collecte des données de ses utilisateurs. En effet, Google vient de mettre à jour sa Google App, ainsi que Google Chrome, sur iOS, afin d’y ajouter les labels de confidentialité, pourtant rendus obligatoires par Apple depuis la mi-décembre. Ces labels, récemment mis en place par Apple, obligent les développeurs à indiquer aux utilisateurs les données collectées par leurs applications et l’utilisation de celles-ci.

Afin de se conformer aux exigences du RGPD, il convient donc dans tous les cas d’être transparent, quant aux données collectées et aux raisons de leur collecte.

mission du dpo

La mission du DPO

La mission du DPO 1260 840 Optimex Data

Optimex Data présente la mission du DPO / DPD.

la mission du dpo

Le Règlement Général sur la Protection des Données – RGPD n’oblige pas nécessairement la désignation d’un délégué à la protection des données – DPD /DPO – auprès de la CNIL. Cependant, la CNIL l’encourage et le recommande vivement pour toute structure, en termes de bonne pratique et d’élément de preuve de conformité.

Mais quel est le rôle et la mission du DPD / DPO ? Quelles tâches confier à son DPD / DPO ?

Les missions du DPD / DPO

Nous pouvons regrouper en 4 catégories, les missions principales du délégué à la protection des données :

1. Informer et conseiller

Pour cela, le DPD / DPO se doit de tenir une veille juridique constante. Ainsi, il se tiendra informé des évolutions réglementaires. Son rôle est également de conseiller le Responsable de traitement sur les décisions à prendre en matière de protection des données. En tant que chef d’orchestre de la conformité RGPD, sa responsabilité sera de tenir informés le Responsable de traitement, les sous-traitants de l’organisme, les salariés et tous les tiers pour les informer et les aider sur concernant l’exercice de leurs droits. Enfin, l’une des premières missions de délégué à la protection est la sensibilisation de l’ensemble du personnel pour les intégrer dans le projet de conformité RGPD, afin de développer une vraie culture RGPD.

2. Contrôler la conformité au RGPD et à la Loi Informatique et Libertés

Selon le RGPD, le délégué à la protection des données se doit de garantir le droit des personnes, en mettent en place des procédures et de la documentation – politique de confidentialité, mentions d’informations … De plus, c’est souvent sur le DPD / DPO que revient la tâche de la mise en place, d et du contrôle des différents registres obligatoires – registres des traitements, registres des demandes de droits, registre des violations de données.

Également, il devra être intégré dans la mise à jour contractuelle, pour s’assurer de la conformité des documentsprésence ou non de clause RGPD pour informer les personnes concernées.

Pour finir, il devra conduite régulièrement des audits auprès des différents services pour s’assurer de la conformité des traitements, que ce soit des nouveaux traitements – privacy by design – ou des traitements existants – privacy by default.

3. Tenir compte des risques

En tant qu’interlocuteur privilégié sur la protection des données, le DPD / DPO devra surveiller et prévenir les risques potentiels en tenant compte de la gravité du risque encourus, ainsi que la vraisemblance du risque – quelle probabilité ? A cet effet, plusieurs outils existent pour faciliter cette mission : la réalisation d’analyse de risques, puis en fonction des conclusions, la conduite d’une analyse d’impact – AIPD. De plus, la CNIL a mis en place une liste des traitements nécessitant une AIPD et les traitements ne faisant pas l’objet d’une obligation d’AIPD.

4. Coopérer avec l’autorité de contrôle – la CNIL

L’un des points essentiels à garder en tête est l’importance des relations et des échanges entretenus avec la CNIL. Evidemment, le DPD / DPO prend contact avec l’autorité de contrôle dès sa désignation, puisqu’il doit s’enregistrer officiellement sur le site de la CNIL. Mais, les relations avec la CNIL ne doivent pas s’arrêter là.

Effectivement, le rôle de la CNIL n’est pas uniquement de sanctionner les organismes, mais également de les conseiller dans leur démarche de mise en conformité au RGPD et à la Loi Informatique et Libertés. C’est pourquoi, il est primordial pour un DPD / DPO de maintenir un échange en continu avec la CNIL. Il aura un rôle important à jouer en cas de contrôle par la CNIL. Il devra alors coopérer avec l’autorité de contrôle, en répondant aux questions et en mettant à disposition les éléments réclamés par la CNIL.

En conclusion …

Les missions confiées au délégué à la protection des données lui demanderont des qualités humaines, organisationnelles et un grand sens pédagogique, ainsi que des compétences juridiques et informatiques, et une bonne connaissance du secteur d’activité de l’organisme.  Impliquer l’ensemble du personnel est la clé de la réussite pour mener à bien le projet de mise en conformité RGPD.

dpo externe

DPO externe ou interne

DPO externe ou interne 1260 841 Optimex Data

Optimex Data vous propose des solutions sur-mesure de dpo externalisé et d’accompagnement du DPO interne.

dpo externalisé

Depuis l’application du RGPD au 25 mai 2018, un nouveau métier est apparu, le Délégué à la Protection des Données DPD – Data Protection Officer DPO, qui vient remplacer le Correspondant Informatique et Libertés – CIL.

La question se pose alors de choisir entre la désignation d’un délégué à la protection des données externalisé ou la désignation, en interne, d’un salarié dédié au projet de conformité RGPD. Même si les missions restent identiques et que les exigences du RGPD doivent être respectées, les organismes soumis à cette obligation – article 37 du RGPD, devront trouver leur prochain Délégué à la Protection des Données. Alors, sur quels critères se baser pour répondre à cette question ? Quelles sont les avantages et les inconvénients d’un DPD / DPO externe ou interne ?

Les avantages d’un DPD / DPO interne

Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connait les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien … De plus, un DPD / DPO interne sera plus réactif en cas de nécessité d’intervention physique « immédiate ». Etant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.

Les inconvénients d’un DPD / DPO interne

En revanche, lors de la désignation du délégué à la protection des données parmi les collaborateurs en place, un climat de tension peut apparaitre avant de savoir qui va « récupérer ce dossier supplémentaire ». Une fois la décision prise, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.

En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.

Les avantages d’un DPD / DPO externe

Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.

Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.

Les inconvénients d’un DPD / DPO externe

Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.

En conclusion …

Alors, à la question « Doit-on externaliser ou internaliser la fonction de délégué à la protection des données ? », il est impossible d’avoir une réponse binaire. Il convient d’étudier le contexte, les ressources à disposition – ressources financières et humaines, la taille de l’organisme, ainsi que les besoins à court et long terme sur la conformité RGPD.

Faire appel à un DPD / DPO externalisé est courant pour toute la mise en place opérationnelle de la conformité, puis de former en parallèle un DPD / DPO interne pour prendre le relai au niveau du suivi de la conformité RGPD. Puis, ponctuellement, l’organisme refait appel au DPD / DPO externalisé pour la réalisation des analyses d’impact, la sensibilisation du personnel ou tout autre mission à la carte. En revanche, il est important de rappeler que les « plateformes de mise en conformité » ne peuvent pas garantir la conformité au RGPD. Ces solutions métier ne remplacent pas un DPD / DPO compétent, qu’il soit interne ou externalisé.

optimex data agence spécialisée dans la protection des données personnelles

Avez-vous l’obligation de réaliser un analyse d’impact ?

Avez-vous l’obligation de réaliser un analyse d’impact ? 1320 880 Optimex Data

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

L’AIPD est un élément central du RGPD, et un outil important pour la responsabilisation des organismes : elle leur permet de construire des traitements de données respectueux de la vie privée, mais également à démontrer leur conformité au RGPD. C’est au responsable de traitement de mesurer, à travers l’analyse d’impact, l’échelle du risque en termes de gravité et de vraisemblance. Par exemple, il est possible d’évaluer le risque pour la vie privée des patients d’un hôpital suite un piratage d’une base de données contenant des données médicales. Ce risque pourrait être estimé comme particulièrement grave (conséquences graves pour les patients) mais peu vraisemblable (dans la mesure où les logiciels d’hébergement des données de santé sont bien protégés).

Pas facile cependant de déterminer si nous sommes dans l’obligation de réaliser une analyse d’impact. Comment juger si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ?

Pour répondre à cette interrogation et accompagner les responsables de traitement dans leur réflexion, la CNIL a précisé les conditions dans lesquelles l’analyse d’impact est obligatoire :

  • Lorsque le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. C’est le cas par exemple pour les traitements mis en œuvre par les hôpitaux, pour les analyses comportementales sur les réseaux sociaux, ou pour la publicité ciblée en ligne.
  • Lorsque le traitement remplit au moins deux des neuf critères issus des lignes directrices du CEPD (Comité européen de la protection des données), par exemple s’il porte sur des données dites « sensibles » ou « à caractère hautement personnel », sur des personnes dites « vulnérables » (patients, personnes âgées, enfants, etc.), ou encore lorsque le traitement consiste en une collecte de données personnelles à large échelle.

A noter : La CNIL classe les salariés dans les « personnes vulnérables ». Par exemple, un système de géolocalisation des véhicules du personnel à large échelle doit faire l’objet d’une analyse d’impact.

Pour conduire une telle analyse, le responsable de traitement fait appel au délégué à la protection des données (DPO), chargé de le conseiller et de vérifier l’exécution du travail.

Pour accompagner les organismes, la CNIL met à disposition un logiciel PIA.

optimex data agence spécialisée dans la protection des données personnelles

La 1ère sanction RGPD de la CNIL : Google

La 1ère sanction RGPD de la CNIL : Google 1320 742 Optimex Data

Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé sa première condamnation dans le cadre du régime RGPD. Cette condamnation intervient suite aux plaintes collectives, qui ont fédéré plus de 10 000 signataires, déposées devant la CNIL par les associations None of Your Business (porté par le célèbre activiste autrichien Maximilian Schrems) et La Quadrature du Net, au mois de mai 2018, soit quelques jours seulement après l’entrée en application du RGPD.

Les motifs de la sanction :

Les deux associations invoquaient plusieurs griefs à l’encontre de la société Google LLC : elles lui reprochaient tout d’abord de ne pas demander le consentement aux utilisateurs pour leur proposer des publicités personnalisées. De plus, Google n’indique pas clairement la finalité de cette collecte de données, la durée de conservation de ces données, ni même le type de données utilisées pour la personnalisation des publicités. L’utilisateur n’est par ailleurs pas clairement informé du nombre de services concernés par cette collecte de données, et son consentement n’est pas recueilli de façon explicite (l’affichage des annonces personnalisées est pré-coché par défaut).

La CNIL a tout d’abord estimé que les informations fournies aux utilisateurs ne répondent pas aux exigences d’accessibilité, de clarté et de compréhension imposées par le RGPD et certaines d’entre elles, rendues obligatoires par le Règlement (article 12 et 13 du RGPD), font défaut. La CNIL constate que ce défaut de clarté nuit à la communication d’un consentement « éclairé », « univoque » et « spécifique » de la part de l’intéressé.

Le montant de la sanction :

Pour tous ces motifs, la CNIL a choisi de prendre une sanction exemplaire à l’encontre de la société Google LLC : une amende de 50 millions d’euros, ce qui représente la sanction pécuniaire la plus élevée jamais infligée par l’autorité. Si la somme semble dérisoire pour la société Google LLC, elle n’en demeure pas moins un sérieux avertissement pour les grands opérateurs. Il convient tout de même de préciser que Google a décidé de former un recours contre cette décision de la CNIL devant le Conseil d’État, comme la procédure administrative de sanction le lui permet. Affaire à suivre…

Au-delà de l’aspect financier d’une telle sanction, beaucoup d’importance a été accordée à la communication et la publicité d’une telle sanction, qui a fait vibrer le monde juridique et numérique. La CNIL est attachée à nommer les entreprises contrevenantes, afin d’informer les individus concernés. Pas sur que le comportement du géant américain véhicule une image de défenseur de la vie privée et renforce la confiance de ses utilisateurs…

optimex data agence spécialisée dans la protection des données personnelles

Quels changements avec l’ordonnance de réécriture de la loi informatique et libertés ?

Quels changements avec l’ordonnance de réécriture de la loi informatique et libertés ? 1320 880 Optimex Data

L’ordonnance n°2018-1125 du 12 décembre 2018 a été publiée le 13 décembre 2018. Elle parachève le processus législatif de réécriture et de simplification de la loi informatique et Libertés, initié après la mise en application du Règlement général sur la protection des données (RGPD) et la transposition de la directive « police-justice » applicable à la sphère pénale.

L’adaptation du cadre juridique français permet d’assurer pleinement la conformité du droit national par rapport au cadre européen. Après l’entrée en application du RGPD le 25 mai 2018, la loi informatique et Libertés avait déjà subi des modifications (loi n°2018-493), l’objectif étant de mettre en conformité le droit français.

L’ordonnance permet d’apporter une cohérence inhérente à la bonne compréhension du cadre juridique global relatif à la protection des données personnelles. A la lecture de l’ordonnance, trois objectifs majeurs ont été atteints :

  • Une meilleure lisibilité de la loi française
  • Une homogénéité par rapport au cadre européen
  • Une clarification de certains régimes juridiques

Pour les TPE et petites collectivités :

Le législateur semble s’être néanmoins concentré sur la forme plutôt que sur le fond : les obligations ou régimes spécifiques pour les petites entreprises ou les petites collectivités n’ont pas été expressément indiquées, comme l’avait demandée la CNIL dans son avis du 30 novembre 2017. La loi demeure générale et il appartiendra au juge d’interpréter l’applicabilité de certaines dispositions dans des cas très concrets.

L’encadrement du traitement du numéro de sécurité sociale :

Des décrets en Conseil d’Etat doivent voir le jour prochainement. On attend impatiemment celui qui détermine les responsables de traitements autorisés à traiter le numéro de sécurité sociale et les finalités au vu desquelles ce dernier peut être traité (cf. art. 30 ordonnance).

Le renforcement des droits et libertés des individus :

Globalement, on assiste à un renforcement considérable des droits et libertés des individus. L’ordonnance entérine l’interdiction d’utilisation de l’intérêt légitime pour traiter des données de mineurs et prévoit que la CNIL peut obliger une entreprise à informer, à ses frais et individuellement, chaque personne victime d’une violation de données.

L’information contenue sur les sites internet ou dans les formulaires doit être accessible notamment au mineur adolescent, et fait peser sur les entreprises une obligation juridique de facilitation d’accès à l’information afin de préserver la liberté de choix des individus.

La clarification de la « mort numérique » :

L’ordonnance clarifie également le régime juridique des données personnelles des personnes décédées (cf. art. 84 et s. ordonnance) et prévoit des obligations spécifiques pour les opérateurs de communications électroniques (cf. art. 83 ordonnance). L’ordonnance illustre par cette disposition son avancement et son anticipation par rapports aux avancées technologiques futures.

Cette ordonnance entrera en vigueur au plus tard en juin 2019, en même temps qu’un nouveau décret d’application.

optimex data agence spécialisée dans la protection des données personnelles

Actualité DPO – Février 2019

Actualité DPO – Février 2019 1320 859 Optimex Data

Avez-vous l’obligation de réaliser un analyse d’impact ?

L’article 35 du RGPD (Règlement sur la protection des données personnelles) prévoit la réalisation d’une analyse d’impact sur la protection des données à caractère personnel (« AIPD » ou « PIA » en anglais) lorsqu’un traitement de données personnelles est susceptible d’engendrer …

En savoir plus …


Quels changements avec l’ordonnance de réécriture de la loi informatique et libertés ?

L’ordonnance n°2018-1125 du 12 décembre 2018 a été publiée le 13 décembre 2018. Elle parachève le processus législatif de réécriture et de simplification de la loi informatique et Libertés, initié après la mise en application du Règlement général sur la protection des données …

En savoir plus …


Le Japon reconnu « pays adéquat » pour les transferts hors UE

Avec l’accord historique de partenariat économique passé entre l’Union Européenne et le Japon (Japan-EU Free Trade Agreement – JEFTA) qui a été signé le 17 juillet 2018 et qui entre en vigueur en février 2019, les économies européennes et japonaises ont prouvé leur volonté d’encourager …

En savoir plus …


La 1ère sanction RGPD de la CNIL : Google

 Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé sa première condamnation dans le cadre du régime RGPD. Cette condamnation intervient suite aux plaintes collectives, qui ont fédéré plus de 10 000 signataires, déposées devant la CNIL …

En savoir plus …


Vous réalisez une démarche à la place d’une personne en utilisant ses données ?

La CNIL a mis à disposition, par le biais de son site internet, un modèle de mandat permettant d’encadrer l’utilisation des données des bénéficiaires par le professionnel. De manière générale, le modèle de mandat a été prévu pour les professionnels du secteur social. Or, après confirmation …

En savoir plus …


Le RGPD en chiffres…

  • Du côté des professionnels:
    • 32000 organismes ont désigné un DPO (15 000)
    • 1000 notifications de violations de données (7/jour depuis le 25 mai)
    • 178000 appels depuis 01/2018
    • 246000 consultations en ligne
    • 7 millions de visite sur le site CNIL
    • 130000 téléchargements de l’outil PIA
  • Du côté des particuliers:
    • 6000 plaintes depuis le 25 mai 2018
    • Plaintes collectives – 45 000 personnes (Quadrature du Net)
  • Du côté des autorités de protection des données:
    • 4 plénières du CEPD depuis mai 2018
    • 19 lignes directrices
    • Proposition de règlement en matière d’accès aux preuves électroniques
  • Du côté de la CNIL:
    • Publication de la liste des traitements devant faire l’objet d’une analyse d’impact
    • Consultation sur un règlement-type biométrie
    • Consultation sur 5 référentiels :
      • Gestion clients et prospects
      • Gestion des impayés
      • Vigilances sanitaires
      • Ressources humaines
      • Gestion des cabinets médicaux
    • Une dizaine de codes de conduite portant sur :
      • La recherche médicale
      • Les infrastructures dites de « cloud »
optimex data agence spécialisée dans la protection des données personnelles

Le Japon reconnu « pays adéquat » pour les transferts hors UE

Le Japon reconnu « pays adéquat » pour les transferts hors UE 1320 881 Optimex Data

Avec l’accord historique de partenariat économique passé entre l’Union Européenne et le Japon (Japan-EU Free Trade Agreement – JEFTA) qui a été signé le 17 juillet 2018 et qui entre en vigueur en février 2019, les économies européennes et japonaises ont prouvé leur volonté d’encourager leurs échanges réciproques en se créant de nouvelles opportunités d’exportation. Un tel accord de libre-échange engendre inévitablement un flux important de données personnelles et nécessite un assouplissement du cadre juridique régulant les transferts de données personnelles.

L’enjeu pour le Japon :

Tout l’enjeu est alors pour le Japon de prouver que sa législation garantit un niveau protection équivalent au RGPD. La reconnaissance de l’adéquation d’un Etat tiers, implique notamment l’examen de ses engagements internationaux relatifs à la protection des données à caractère personnel, ainsi que l’analyse de sa participation à des systèmes multilatéraux ou régionaux en matière de protection des données personnelles. Depuis l’entrée en vigueur du RGPD, c’est à la seule Commission européenne qu’il revient de constater que le pays tiers en question, assure un niveau de protection adéquat. A l’heure actuelle, à l’échelle mondiale, la liste des pays reconnus « adéquats » n’est pas longue (seuls 12 Etats sont considérés comme tel, dont deux le sont « en partie » seulement), la CNIL explique alors que : « les transferts de données personnelles vers ces pays ne nécessitent pas d’encadrement par des outils de transfert » les échanges entre l’UE et ces Etats sont libres.

L’opportunité pour les entreprises européennes :

Depuis le 24 janvier 2019, le Japon a rejoint la liste de privilégiés, puisque la Commission a pris à son égard une décision d’adéquation libéralisant les flux de données personnelles. En effet, la modernisation récente de sa législation en matière de protection des données (notamment par la création d’un mécanisme de traitement des plaintes en cas d’accès aux données par les autorités publiques nippones, ou encore l’aménagement de règles additionnelles dans son cadre juridique relatif à la protection des données), a permis à la Commission européenne de considérer que : « la convergence entre les deux systèmes (Union européenne et Japon) a progressé ». Dès lors, comme le déclare Věra Jourová, commissaire européenne chargée de la justice et des consommateurs, « cette décision d’adéquation donne naissance au plus grand espace au monde de flux sécurisés de données ». En effet, si l’Union européenne se voit offert un accès privilégié à un marché de 127 millions de consommateurs, le Japon va également pouvoir profiter plus aisément des transferts de données de l’espace économique européen, fort d’un demi-milliard de citoyens européens.

optimex data agence spécialisée dans la protection des données personnelles

Vous réalisez une démarche à la place d’une personne en utilisant ses données ?

Vous réalisez une démarche à la place d’une personne en utilisant ses données ? 1320 805 Optimex Data

La CNIL a mis à disposition, par le biais de son site internet, un modèle de mandat permettant d’encadrer l’utilisation des données des bénéficiaires par le professionnel.

De manière générale, le modèle de mandat a été prévu pour les professionnels du secteur social. Or, après confirmation auprès du service DPO de la CNIL, il est tout à fait autorisé d’utiliser ces mandats dans d’autres secteurs d’activité.

En effet, certains professionnels (comme les experts comptables) accompagnent quotidiennement les usagers dans leurs démarches en ligne, que ce soit en leur présence ou en leur absence.

Ainsi, l’utilisation de ce mandat nécessite que l’usager, le client donne explicitement son consentement par le biais d’un accord écrit qu’est le mandat.

Précisément, il convient de remplir une obligation d’information pour garantir la validité du consentement de l’usager.

Pour cela, il appartient au professionnel d’expliquer :

  • L’objet de l’intervention ;
  • La raison pour laquelle les informations du client, de l’usager sont collectées et leur utilité ;
  • L’existence de droits sur ses données (accès, rectification, suppression, etc.) ;
  • La possibilité pour l’usager, le client de retirer à tout moment son consentement.

Enfin, bien que le consentement soit valide, il convient impérativement de garantir la confidentialité et la sécurité des données mais aussi de faire preuve de transparence dans le traitement des données personnelles de l’usager, du client.

Ce modèle de mandat s’avère particulièrement utile pour les travailleurs sociaux qui font des démarches à la place des usagers (déclaration CAF, demandes de prestations sociales)

Il est également obligatoire pour les experts comptables, lorsqu’ils font des démarches à la place de leur client (déclaration en utilisant l’identifiant et mot de passe du client par exemple).

https://www.cnil.fr/fr/professionnels-du-secteur-social-comment-mieux-proteger-les-donnees-de-vos-usagers/

Call Now Button