Newsletter Septembre 2020

 

Les bonnes résolutions du DPO à la rentrée
Le Cabinet Marvell avocats vous souhaite une excellente rentrée 2020. En espérant que vous ayez pu profiter de vos vacances comme il se doit, repartons ensemble du bon pied pour entamer l’année de la meilleure des manières !
 
Point 1 : Gérer les transferts de données vers les Etats-Unis
 
  • Que faire face à l’invalidation du Privacy Shield ?
L’invalidation du mécanisme Privacy Shield (ou « Bouclier de protection ») par la Cour de Justice de l’Union Européenne, le 16 juillet 2020, doit être un sujet de préoccupation pour les DPO en ce début d’année.

La décision rendue par la CJUE dans l’ « affaire Schrems II » interdit désormais tout transfert de données à caractère personnel vers les Etats-Unis fondée sur le Privacy Shield. En outre, la CJUE a considéré que les clauses contractuelles types et les BCR, qui permettaient également de transférer les données en conformité ne suffisent plus à rendre licite un transfert.

En effet, la CJUE considère que la législation américaine (qui permet aux autorités d’aisément accéder aux données) ne permet pas aux fournisseurs de services de communication électronique américain de garantir l’application des « garanties appropriées » au titre de l’article 46 du RGPD en raison du « degré d’interférence » de cette législation avec des droits fondamentaux des personnes.
Le 30 juillet 2020, la CNIL a publié, sur son site, les première questions-réponses du CEPD pour aider les entreprises à rebondir. Ce qu’il faut en retenir :

1. Cette décision est applicable immédiatement ;
2. Dans le cas du recours aux Clauses contractuelles types, il faut réaliser une évaluation de son partenaire avant de poursuivre les transferts;
3. Il est encore possible de transférer les données sur la base des exceptions de l’article 49 du RGPD (voir sur ce sujet les Lignes directrices du CEPD).
 
  • Quelles sont les actions à mener ?
1. Vérifier si vous faites appel à des prestataires situés aux Etats-Unis ou qui transfèrent des données hors des Etats-Unis
 
2. Si des transferts sont réalisés sur le fondement du Privacy Shield
  • Mettre un terme au contrat avec le prestataire sur le fondement de la clause RGPD
  • Demander au prestataire de signer des Clauses contractuelles types et réaliser une analyse de conformité (voir ci-après)
3. Si des transferts sont réalisés sur le fondement des Clauses Contractuelles Types
(CCT) ou des BCR (règles d’entreprises contraignantes) :
  • Transmettre un questionnaire d’audit à votre sous-traitant sur les circonstances des transferts et les mesures supplémentaires qu’il met en place pour garantir les droits des personnes et la sécurité des données (chiffrement, non soumission aux lois américaines, …)
  • Réaliser une analyse de conformité de vos sous-traitants pour déterminer si les mesures mises en place par ces derniers sont suffisantes
  • Rédiger une Fiche Accountability permettant de justifier la poursuite ou non des transferts
4. Si aucun transfert n’est réalisé vers les Etats-Unis / ou réalisé sur le fondement des exceptions à l’article 49 du RGPD (consentement, exécution d’un contrat, intérêt public, etc… ) : Rédiger une Fiche Accountability pour justifier de l’absence de transfert hors UE ou des exceptions prévues.
 
Point 2 : Retour sur la dernière sanction de la Cnil

Sanction SPARTOO : l’entreprise française est devenue la première entreprise à se faire sanctionner par la coopération de plusieurs autorités de contrôle européennes. La CNIL a sanctionné à hauteur 250 000 euros l’entreprise pour avoir manqué à certaines obligations (durée de conservation des données, minimisation des données, information des personnes…).

Allez voir notre brève sur le sujet ! 
 
Point 3 : Maintenir un niveau élevé de cybersécurité

Les actes externes malveillants ne sont jamais en pause. Rester attentif et prévoyant en termes de sécurité des outils et des réseaux est essentiel pour protéger l’ensemble des données traitées.
Récemment, le logiciel « Pulse Secure » a subi une violation des données. De nombreuses informations, parfois confidentielles, ont été dévoilées - adresses IP de serveurs vulnérables, des clés privées, une liste des utilisateurs ainsi que des informations de connexion, identifiants et mots de passe.

Comment faire face à ce type de menaces dès maintenant ?

Les mesures de sécurité servent de moyens de défense efficaces en amont. Elles se déploient sous plusieurs catégories.
  • Mise en place de mesures techniques : pare-feu, VPN, renforcement des mots de passe, audits des systèmes d’information, …
  • La mise à jour des logiciels est primordiale. L’utilisation de versions défaillantes ou obsolètes de logiciels sont des cibles idéals et entrainent de ce fait un risque accru de violation de données. En procédant à leur mise à jour, la vulnérabilité des systèmes et les failles de sécurité sont corrigées.
  • Sauvegarde des données sur un disque extérieur est une valeur sûre au cas où l’intégrité du matériel est attentée.
  • Il est conseillé de procéder à des audits des systèmes d’information et à surveiller en particulier les activités suspectes qu’ils pourraient repérer parmi leurs journaux d’activité.
  • Sécuriser l’accès aux données en gérant les intervenants.
 
Point 4 : Planifier les autres actions 2020/2021

La rentrée a commencé, c’est le moment de repartir sur de bonnes bases pour une entreprise, et la conformité RGPD en fait partie.
Prenez le temps de construire un plan d’actions pour améliorer et maintenir la conformité de votre organisation :
 
  • Faire des campagnes de sensibilisation des opérationnels
  • Organiser le retroplanning des actions sur 2021
  • Focus sur les cookies : la CNIL devrait publier ses Lignes directrices mise à jour ainsi que la Recommandation pratique en septembre
  • Mise à jour de votre site internet : dans son rapport 2019 la CNIL montre que les utilisateurs sont de plus en plus concernés par la protection de leurs données : profitez-en pour vous assurer que votre site internet est à jour de la réglementation. Consulter notre Livre Blanc Cookies bientôt disponible sur notre page LinkedIn, n’hésitez pas à vous y abonner en cliquant ici 
  • Création ou mise à jour des processus : l’obligation d’Accountability impose aux entreprises de créer des processus (réponse aux droits des personnes, violation de données, réalisation d’une PIA...)
  • Revue de votre registre des activités de traitement : une nouvelle année scolaire, c’est aussi une occasion de revoir son registre des activités de traitement pour bien commencer l’année.

 
Marvell Académie

Retrouvez nos formations pour rester à jour des évolutions de la réglementation

Inscrivez-vous, les places partent vite !




 
Suivez notre page LinkedIn pour plus d'actualités 
Bien à vous,
Yaël COHEN-HADRIA
Associée
Avocat à la cour
 
 
Pour nous contacter:
marvell@marvellavocats.com

Vous recevez cet email dans le cadre de votre profession. Vos coordonnées professionnelles sont traitées qu'aux seules fin de l'envoi de nos newsletters. Vous disposez de droits sur vos données. Pour plus d'informations, vous pouvez consulter notre Charte de confidentialité.
Si vous ne souhaitez plus recevoir de communication de notre part, veuillez contacter notre DPO à l’adresse mail suivante : dpo@marvellavocats.com