juillet 2021 - Poggi Avocats IT

Sanction CNIL de 1,75 millions d’euros à l’encontre d’AG2R La Mondiale

27 juillet 2021/dans Archives, News /par Poggi Avocats IT

La CNIL a constaté que la société AG2R LA MONDIALE avait manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes.

Sur le principe de limitation de la durée de conservation des données, la CNIL a constaté qu’AG2R La Mondiale avait certes défini des durées de conservation mais que ces dernières n’étaient pas mis en œuvre dans ses systèmes.

Sur l’obligation d’information des personnes dans le cadre d’un démarchage téléphonique, la CNIL a relevé plusieurs manquements :
- Une information incomplète et l’absence de possibilité d’accéder à une information plus complète ;
- L’absence d’information des personnes sur le potentiel enregistrement des appels téléphoniques ou de leur droit à s’y opposer ;
- L’absence d’information concernant les traitements relatifs à leurs données personnelles ou leurs autres droits.

En conséquence, la CNIL a prononcé une amende publique de 1,75 millions d’euros à l’encontre de la société AG2R LA MONDIALE.

Voir la délibération

Brexit & RGPD : les transferts de données vers le Royaume-Uni autorisés

15 juillet 2021/dans Archives, News /par Poggi Avocats IT

Conséquence directe du Brexit : les partages de données personnelles avec le Royaume-Uni sont devenus des transferts de données hors UE, par principe interdits par le RGPD.

Depuis le 28 juin 2021, le Royaume-Uni est reconnu comme un pays ayant un niveau de protection des données équivalent à celui garanti par le RGPD. En vertu de deux décisions d’adéquation adoptées par la Commission européenne, les transferts de données personnelles depuis le territoire de l’UE vers celui du Royaume-Uni sont donc autorisés et pourront être effectués par les responsables de traitement et les sous-traitants sans qu’il soit nécessaire de mettre en place des clauses contractuelles-types ou d’autres garanties spécifiques.

Cette décision n’est pas surprenante dans la mesure où, préalablement au Brexit, le Royaume-Uni était soumis au RGPD et avait mis en conformité sa législation nationale.

La décision d’adéquation relative au RGPD et la décision d’adéquation relative à la Directive Police-Justice

De nouvelles clauses contractuelles types à mettre en place avec vos prestataires

5 juillet 2021/dans Archives, News /par Poggi Avocats IT

Le 27 juin, les nouvelles clauses contractuelles types adoptées par la Commission européenne sont entrées en vigueur. La Commission européenne a choisi de créer deux catégories de ces contrats-types :

1/ Une version applicable aux relations entre les responsables du traitement et les sous-traitants.

La signature d’un contrat entre le responsable de traitement et le sous-traitant (ou Data protection agreement – DPA) est obligatoire en application de l’article 28.3 du RGPD. La CNIL avait déjà fourni un modèle de contrat de ce type afin d’aider les entreprises à se mettre en conformité avec le RGPD. Ce nouveau modèle permet d’enrichir les DPA déjà en vigueur notamment en ce qui concerne les mesures de sécurité à mettre en place ou l’étendue de l’assistance qui doit être portée par un sous-traitant au responsable de traitement.

2/ Une version applicable à tout transfert de données personnelles vers des pays tiers à l’Union européenne.

Pour rappel, le transfert de données personnelles vers un pays situé en dehors de l’UE est interdit par le RGPD, sauf exceptions. Au titre de ces exceptions, on retrouve les pays ayant fait l’objet d’une décision d’adéquation de la Commission européenne c’est-à-dire dont le niveau de protection des données personnelles est considéré comme équivalent à celui de l’Union européenne. Une deuxième exception concerne la signature de clauses contractuelles types permettant de garantir contractuellement une protection optimale des données personnelles et donc de rendre licite un transfert de données hors UE.

Pour s’adapter aux exigences du RGPD (notamment la tenue des registres, le guichet unique, la désignation d’un DPO etc.), la Commission européenne a dû refondre les clauses contractuelles types à travers un modèle « à tiroirs » qui permet de les adapter à la réalité du transfert de données (chaine de sous-traitance successive, contrats tripartites…). Elle a également enrichi ce mécanisme au regard de l’arrêt SCHREMS II invalidant le Privacy Shield en intégrant des clauses relatives à la vérification de la législation du pays destinataire et des exemples d’éventuelles mesures additionnelles permettant de rendre le transfert conforme.

Ce nouveau modèle sera obligatoire à compter de septembre 2021 et les entreprises auront 18 mois pour remplacer les versions précédentes des clauses contractuelles type déjà signées avec leurs co-contractants soit jusqu’au 27 décembre 2022.