Durcissement des règles applicables aux Cookies et autres traceurs

La CNIL a publié ce 1er octobre 2020 ses lignes directrices modificatives et sa recommandation concernant les cookies et autres traceurs.

En effet, le 19 juin dernier, le Conseil d’Etat avait annulé une partie des lignes directrices de la CNIL en estimant que l’interdiction générale relative à la pratique des « cookie walls » était trop contraignante et allait au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Le 17 septembre 2020, la CNIL a donc adopté des lignes directrices modificatives ainsi qu’une version définitive de la recommandation pratique sur le sujet. Cette évolution des règles applicables a pour but de donner aux internautes un  meilleur contrôle sur les cookies et traceurs en ligne via l’affirmation de certains principes plus contraignants :

  • un nécessaire acte positif de l’utilisateur pour recueillir son consentement
  • des modalités de refus des cookies et traceurs qui soient aussi simples que les modalités d’acceptation
  • un renforcement de l’information de l’utilisateur

S’agissant des « cookie walls », la CNIL a estimé, dans le prolongement de ses premières lignes directrices, que  « le  fait  de  subordonner  la  fourniture  d’un  service  ou  l’accès  à  un  site  web  à l’acceptation  d’opérations  d’écriture  ou  de  lecture  sur  le  terminal  de  l’utilisateur (pratique dite de «cookie wall») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ».

La CNIL fixe le délai de mise en conformité aux nouvelles règles à six mois, soit au plus tard fin mars 2021. Pendant cette période, la CNIL accompagnera les acteurs concernés et prendra en compte les difficultés qu’ils rencontrent mais réaffirme qu’elle n’hésitera pas à poursuivre certains manquements « notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée ».

RGPD et rachat de sociétés

L’intégration d’une société A dans une société B peut avoir des impacts sur la conformité des traitements avec le RGPD. En effet, si les traitements de la société A sont gérés par la société B en tant que responsable de traitement, alors la société B a l’obligation d’informer les clients de la société A de ces changements dès son utilisation de leurs données ou dans un délai maximum d’un mois à compter de la transmission de la base de données à la société B.

La société B pourra alors en toute légalité envoyer un message aux clients de la société A, à condition de leur transmettre les informations figurant à l’article 14 du RGPD et notamment :

  • le fait que la base de données de la société A a été transmise à la société B du fait du rachat ;
  • les noms et coordonnées complètes de la société B, responsable de traitement ;
  • les catégories de données traitées (nom, prénom, email, numéro de téléphone etc.) ;
  • les finalités pour lesquelles les données sont traitées (gestion de la relation client, inscription au programme de fidélité etc.) et la base juridique du traitement (adhésion aux CGV, consentement, obligation légale…) …

Ces différentes informations peuvent par exemple figurer dans la Charte de protection des données ou Privacy Policy de la société B, jointe à l’email d’information.

Pour l’envoi de newsletters : cette finalité repose sur le consentement du client et un nouveau consentement doit donc impérativement être recueilli avant de pouvoir lui envoyer les newsletters de la société B, par exemple en intégrant une case à cocher à l’email d’information. A défaut, aucun message de prospection commerciale ne peut lui être envoyé.

POGGI Avocats IT – Intervention au dîner-débat de l’Agora des DSI et CIO du 9 septembre 2020

Anne-Sophie POGGI est intervenue aux côtés du professeur Jean-Yves LEGER au Dîner-débat de l’Agora des DSI et des CIO du 9 septembre 2020 sur le thème :

Le DSI, au cœur de la valorisation immatérielle de l’entreprise !

Pour revoir leur intervention en vidéo, c’est ici !

Le Privacy Shield invalidé

L’été a été propice à une actualité judiciaire sur le RGPD ayant un très fort impact sur tous les contrats en cours avec les sociétés américaines créant pour les entreprises une insécurité juridique.

La Cour de justice de l’Union européenne vient en effet d’invalider l’accord dit « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis (arrêt du 16 juillet 2020, C-311/18).

Les sociétés américaines ayant adhéré au Privacy Shield étaient, jusqu’à présent, considéré comme des destinataires ayant un niveau de protection équivalent au RGPD. Suite à la remise en cause de cet accord, les responsables de traitement vont devoir signer avec leurs prestataires américains des contrats de transferts de données, étant précisé que la simple signature des clauses contractuelles types de la Commission Européenne ne suffit plus.

En effet, la Cour de justice ajoute une nouvelle obligation à la signature de ces clauses : les responsables de traitement doivent à présent procéder à une évaluation au cas par cas de chaque transfert en fonction de deux critères cumulatifs:

  • le contenu des clauses contractuelles encadrant le transfert qui doivent prévoir :
    • des mécanismes effectifs permettant  d’assurer que le niveau de protection requis par le droit de l’UE est respecté ;
    • à défaut, des mécanismes permettant de suspendre lesdits transferts ;
  • la loi applicable du pays destinataire.

En parallèle, l’entreprise destinataire dudit transfert doit informer le responsable de traitement européen de son éventuelle incapacité de se conformer auxdites clauses.

Conséquences :

Vous êtes tenus de mettre en conformité vos transferts de données personnelles vers les Etats-Unis avec cette décision, que ces transferts soient à destination d’une filiale, de leur maison-mère ou d’un prestataire.

Ainsi, dans un premier temps, nous vous recommandons de :

  • supprimer toute référence au Privacy Shield de la Privacy policy et de toute autre mention d’information ;
  • recenser les transferts opérés vers les Etats-Unis ;
  • signer avec ses fournisseurs des contrats de transfert conformes ;
  • créer un process pour procéder à une évaluation au cas par cas de chaque transfert tenant compte des circonstances qui lui sont propres et des mesures mises en place entre les parties pour s’assurer de sa validité;
  • si l’analyse est négative, suspendre le transfert concerné voire même résilier le contrat passé avec le prestataire américain.

L’arrêt de la Cour de justice ayant une portée générale, il sera nécessaire, dans un second temps, de recenser l’ensemble des transferts de données vers un destinataire situé en dehors de l’UE et vérifier la validité de chacun d’entre eux dans les mêmes conditions.

POGGI Avocats IT intervenant à la Matinale Benchmark BRAPI

POGGI Avocats IT interviendra le 10 octobre prochain à la Matinale Benchmark BRAPI consacrée aux “Méthodes agiles & achats de prestations intellectuelles“.

BRAPI est un club d’échanges et de benchmark pour les responsables achats de prestations intellectuelles autour de thématiques très opérationnelles.

Accueil 8h45 -9h00 Matinale de 9h00 à 12h30 suivi d’un buffet jusqu’à 13h30 – dans les locaux du NUMA au 39 rue du Caire Métro: Sentier ou Réaumur Sébastopol

POGGI Avocats IT à La Matinale IT for Business

Anne-Sophie POGGI sera présente à La Matinale IT for Business du 17 avril 2019 consacrée au pilotage d’un S.I. externalisé et interviendra sur le thème du “Multicloud : repenser l’architecture de ses contrats, une nécessité”.

POGGI Avocats IT partenaire du Gala des DSI

POGGI Avocats IT sera présent en tant que partenaire au Gala organisé par l’Agora des DSI à la salle WAGRAM le 27 mars 2019 pour une soirée sur le thème “Comment l’Intelligence Artificielle va-t-elle bousculer le métier et l’industrie IT ?” en présence d’Alexandre CADAIN, Co-Founder & CEO d’Anima.

Les débats seront animés par Martial You, Rédacteur en chef Economie chez RTL.


Flash RGPD – CNIL vs Google

POGGI Avocats IT vous présente le Flash RGPD, vidéos ludiques et explicatives.

Aujourd’hui, nous traiterons de la décision de la CNIL prononçant une sanction de 50 millions d’euros contre Google en rappelant les trois points majeurs à retenir de la décision et leurs conséquences pour votre entreprise.

N’attendez plus, découvrez notre Flash RGPD ci-après :

POGGI Avocats IT à l’IBA

Anne-Sophie POGGI est présente à Rome pour la conférence annuelle de l’International Bar Association, réseau d’avocats au niveau mondial, en tant que Présidente du “Disputes and Rights Subcommittee” du Technology Committee.

POGGI Avocats IT au “J’innov – Security day”

 

Les journées de l’innovation – J’innov ont pour objectif de  développer l’appétence et la performance numérique au cœur de l’enseignement. A cette occasion, les DSI des Académies, de l’enseignement supérieur et des grandes écoles se réunissent et interagissent avec les professionnels de l’industrie IT.

 

POGGI Avocats IT participe à cet évènement majeur du secteur de l’enseignement, notamment pour présenter son parcours de formation en ligne (MOOC) “Mise en conformité avec le RGPD” via la plateforme InComplianceWith – ICW.