philippe.gabillault

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Cette sanction est la plus importante jamais prononcée par l’autorité de régulation française. Que devons-nous en penser ?

Tout d’abord, cette sanction marque le début de nouvelles sanctions significatives à venir, la règlementation autorisant désormais des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires. Si nous mettons en perspective, les 50 millions par un rapport à un chiffre d’affaires annuel de 110 milliards de dollars, cela laisse ouvert le champ des possibles.

Le second commentaire est qu’il ne faut pas sous-estimer l’impact de la règlementation, d’autant plus que cette règlementation a le mérite de fournir un cadre à la fois souple et précis qui permet aux entreprises de se conformer à la règlementation, à partir du moment où elles sont en mesure de respecter les six principes évoqués dans le texte et repris dans les 11 conseils de la présente note.

Le troisième commentaire est qu’il faut éviter de créer des traitements trop complexes qui généreront des contraintes inutiles. Souvent les traitements audacieux, résultats d’une créativité échevelée sous le prétexte que la technologie le permet et que d’autres le font, sont les plus difficiles à maintenir et à sécuriser. Les traitements audacieux ne sont pas interdits mais n’oublions pas que leur conformité créera des contraintes, nécessitant ressources et moyens dont les entreprises ne disposeront pas forcément, contrairement aux grands acteurs Google, Amazon, Facebook et Apple.

Le quatrième commentaire, aujourd’hui la donnée est et vient de partout : les caisses, les scanners, les smartphones, les réseaux sociaux, les objets connectés, …. Elle donne des informations de géolocalisation des clients dans les magasins, elle permet de suivre le client en dehors du magasin. L’objectif des entreprises est de  proposer au client ce qu’il veut à n’importe quel moment. De ce fait la tentation est grande de collecter le maximum de données. Mais attention plus la collecte de données est importante et plus le risque l’est, pour cela la partie sécurité est essentielle, rappelons que les sanctions qui peuvent intervenir en cas de failles de sécurité peuvent aller jusqu’à 4 % du chiffre d’affaire consolidé ou pour des entreprises de taille moyenne jusqu’à 20 millions d’euros.

Le cinquième commentaire et sans doute le plus important est que cette décision est particulièrement documentée et doit être lue et relue avec la plus grande attention, car elle indique et argumente que :

a) L’Irlande ne constitue pas un refuge pour les multinationales du numérique ;

b) Le Dashboard de Google et les conditions d’utilisations « ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension », mais aussi que « certaines informations rendues obligatoires par l’article 13 ne sont pas fournies aux utilisateurs » ;

c) Il « ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité » ;

 d) « Le caractère spécifique du consentement n’est pas respecté puisque l’utilisateur, par ces actions, accepte en bloc l’ensemble des traitements de données à caractère personnel mis en œuvre par la société, y compris à ceux de personnalisation de la publicité« .

De ce fait, il convient de bien appréhender les risques pouvant conduire à l’application de ces amendes. Nous en avons identifié 9 principaux :

  1. Vices du consentement : Dans le cadre d’une nécessité du consentement : le consentement n’a pas été donné de manière libre, spécifique et informée; le consentement n’a pas  été donné pour une ou des finalités précises; le responsable de traitement ne peut pas prouver que ce consentement a été exprimé.
  1. Collecte de données inappropriées : Des données personnelles illégitimes au regard de la ou des finalités du traitement sont collectées. Par exemple : des données physiques (taille, poids…) sont demandées pour se porter candidat à une offre d’emploi.
  1. Sécurisation insuffisante des données : Le niveau de sécurité des données en place est insuffisant au regard de la probabilité et de la gravité des risques ainsi que de la finalité du traitement. Cette sécurisation insuffisante peut entraîner : l’altération des données personnelles (perte d’intégrité) ; l’accès illégitime aux données personnelles (perte de confidentialité) ; la suppression des données personnelles (perte de disponibilité).
  1. Détournement de finalité du traitement : Dans le cadre d’un traitement, les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes mais sont traitées ultérieurement de manière incompatible avec ces finalités.
  1. Défaut de procédure de Privacy by Design : Absence ou insuffisance de la procédure visant : pour les nouvelles applications : à créer ces applications dans le respect des exigences du RGPD; pour les applications existantes avant la mise en œuvre du RGPD: à mettre en place un plan d’action ou des outils pour mettre en conformité ces applications selon les exigences du RGPD.
  1. Conservation excessive de données : Les données à caractère personnel sont conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
  1. Transfert auprès d’un tiers mal encadré : Le transfert de données à caractère personnel vers un tiers s’est fait sans vérification des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personnes concernées.
  1. Transfert hors UE abusif : Un transfert hors UE est effectué sans qu’aucune des exceptions à l’interdiction soit réalisée (clauses contractuelles types, BCR, consentement individuel explicite, décision d’adéquation, autres dérogations…).
  1. Incapacité à permettre l’exercice des droits : Impossibilité de répondre à des demandes de clients ou collaborateurs quant à leurs droits (portabilité, accès, information, transparence, oubli, suppression…).

Pour bien appréhender ces risques et se protéger utilement, les entreprises peuvent s’appuyer sur 11 conseils simples pour la conformité des données à la réglementation.

  1. Pour se protéger durablement, la transparence et la conformité sont indispensables : car, le plus difficile n’est pas de gagner la confiance du client, mais de la conserver
  1. Vous devez pouvoir répondre à la question suivante : quelle est dans votre entreprise la vision de la protection et du respect de la vie privée de vos clients ?
  1. Vous devez pouvoir formaliser par écrit cette vision en rédigeant une charte applicable à tous les traitements de données personnelles de votre entreprise : en rédigeant une charte compréhensible par tous les clients, collaborateurs et sous-traitants
  1. Vous devez connaître et respecter les six principes du règlement européen (RGPD et être en mesure de démontrer le respect de ces principes.
  1. Principe 1 – licéité, loyauté, transparence : traiter les données de manière licite, loyale et transparente au regard de la personne concernée.
  1. Principe 2 – collecter les données pour des finalités déterminées, explicites et légitimes, et ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.
  1. Principe 3 – minimisation des données : adéquates, pertinentes et limitées, à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  1. Principe 4 – exactitude : exactes et tenues à jour les données inexactes sont effacées ou rectifiées sans tarder.
  1. Principe 5 – limitation de la conservation : conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
  1. Principe 6 – intégrité et confidentialité : traitées de façon à garantir une sécurité appropriée pour assurer la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle.
  1. Enfin, être capable de démontrer le respect des 6 principes évoqués de manière récurrente, par une approche par les risques des auto-évaluations et des contrôles externes réguliers.

Selon une enquête de Merril Corporation publiée début novembre (Due Diligence 2022), accessible sur le site toltecdc.comla mise en œuvre du GDPR est apparue comme un obstacle majeur aux fusions et acquisitions.

Plus de la moitié des praticiens interrogées (55%) ont cité la conformité et la protection des données utilisées par la société cible comme principale raison pour laquelle une transaction n’a pas progressé ou a été annulée. En outre, 66% des personnes interrogées pensent que le GDPR renforcera la vigilance des acquéreurs sur les politiques et processus de protection des données des sociétés cibles, ce qui compliquera encore le processus de transaction.

En veillant à ce que les données soient pleinement conformes aux réglementations locales et internationales, et que les obligations y afférentes ont bien été appréhendées par votre entreprise, l’ACQUEREUR, vous disposerez de la sécurité dont vous avez besoin pour VALORISER vos données.

Ainsi en respectant, une approche simple, claire et équilibré dans le RESPECT de la réglementation, des clients, des collaborateurs et des sous-traitants ; la PROTECTION dont disposera votre entreprise sera durable ; ce qui mécaniquement contribuera à sa VALORISATION.

https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la