mai 2019

Flash Info – CNIL – Stratégie de contrôle pour 2019

2019-05-20T18:42:10+00:0020 mai 2019|Actualités|

Parue au Journal officiel, la délibération du 9 mai 2019 a mis à jour la liste des agents habilités à procéder à des missions de vérification sur place. La CNIL va pouvoir mettre en œuvre sa stratégie de contrôle.
La période transitoire, pendant laquelle les organismes ayant initié une démarche de mise en conformité n’ont pas été sanctionnés, est révolue.
La CNIL a annoncé qu’elle sanctionnera les organismes non-conformes à la règlementation. Pour cela, elle tiendra compte de la gravité des manquements, de la bonne foi et de la coopération de l’organisme pour prendre les suites les plus appropriées.
Lors des contrôles, la CNIL veillera au respect des droits des personnes concernées, à la répartition des responsabilités entre le responsable de traitement et ses sous-traitants, ainsi que le traitement des données des mineurs.

Assurez-vous que

  • le registre des traitements mis en place est tenu à jour, ainsi que le registre des violations de données,
  • les analyses d’impact pour les traitements pour lesquels elles sont requises ont été réalisées,
  • les contrats avec les sous-traitants définissent bien les responsabilités de chacune des parties,
  • la procédure pour la gestion de l’exercice des droits des personnes concernées et des réclamations est à jour.
Télécharger le PDF

avril 2019

Flash Info – CNIL – Publication du rapport d’activité 2018

2019-04-15T22:50:38+00:0015 avril 2019|Actualités|

La CNIL vient de publier son rapport d’activité annuel, premier rapport depuis l’application du RGPD.
1170 notifications de violation de données, principalement des atteintes à la confidentialité des données. La CNIL annonce d’ores et déjà qu’elle va s’assurer, lors des contrôles, de la mise en place de procédures et un registre des violations.
La CNIL a réalisé 310 contrôles, dont 2/3 de contrôles sur place.
49 mises en demeure ont été adoptées, dont 11 rendues publiques
Sur les 10 sanctions pécuniaires prononcées, 7 concernent des atteintes à la sécurité des données personnelles.
En 2019, dans le cadre du programme de contrôles de la CNIL, ceux-ci porteront
  •  sur les plaintes reçues, avec l’exercice pratique des droits des personnes,
  •  sur la répartition des responsabilités entre sous-traitants et donneurs d’ordre, et ce, quelque soit le secteur d’activité,
  •  sur les données des mineurs.
Télécharger le PDF

mars 2019

Flash Info – CNIL – Publication du 1er règlement type relatif au recours à la biométrie sur les lieux de travail

2019-03-29T00:20:14+00:0029 mars 2019|Actualités|

La CNIL a adopté et publié le premier règlement type. Il intervient dans le cadre de la nouvelle mission confiée par la Loi Information et Liberté modifiée.

Ce premier règlement type concerne la mise en œuvre des dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur le lieu de travail. Il fixe les exigences spécifiques applicables à ces traitements de données biométriques ainsi qu’aux appareils et applications utilisés.

Le responsable de traitement devra respecter les dispositions du règlement type et réaliser l’analyse d’impact requise par la CNIL. Cette analyse d’impact devra être mise à jour régulièrement, au moins tous les 3 ans.

Télécharger le PDF

Flash Info – DGCCRF – Résultats 2018

2019-05-21T17:18:03+00:0026 mars 2019|Actualités|

La DGCCRF vient de publier son bilan 2018. Le secteur de la santé n’a pas échappé aux contrôles.

Au titre de la régulation et de la concurrence, un abus de position dominante dans l’élimination des déchets d’activités de soins à risques infectieux (DASRI) a été sanctionné en Corse. Il a été mis fin à une pratique de boycott dans le secteur de la distribution de produits vétérinaires en région.

Dans le cadre de la sécurité du consommateur, des contrôles sur les produits cosmétiques ont été réalisés auprès de 1 801 établissements. Ils ont porté sur les dossiers d’informations sur le produit (DIP), les notifications sur le portail européen CPNP, l’étiquetage, la véracité des allégations, les règles de composition et le respect des bonnes pratiques de fabrication. Les anomalies les plus fréquemment constatées sont l’étiquetage, les allégations trompeuses, le DIP et l’absence de liste d’ingrédients sur les sites internet marchands.
Les compléments alimentaires à base d’algues ainsi qu’à base d’huiles essentielles pouvant contenir des molécules réputées convulsivantes ont été contrôlés, à la suite d’interrogations de l’ANSES afin d’affiner son évaluation des risques.
Le marché des produits apparentés à des compléments alimentaires mais positionnés comme des dispositifs médicaux a fait également l’objet de contrôles. Des procès-verbaux ont été dressés à l’encontre d’entreprises commercialisant des dispositifs à visée minceur.

Enfin, concernant la protection économique du consommateur, le dispositif de protection des usagers qui renforce l’information du patient et la lutte contre la facturation abusive a été contrôlé dans 209 établissements de santé. La moitié de ces établissements présentait des non-conformités : frais facturés ne relevant pas de prestations de soins ou de sollicitations expresses, bien qu’il s’agisse de missions habituelles pour lesquelles les établissements sont rémunérés par la Sécurité sociale, ce qui a donné lieu à des injonctions.

TÉLÉCHARGER LE PDF

mai 2018

Flash Info – Décret sur la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels

2018-05-30T09:57:53+00:0030 mai 2018|Actualités|

Est paru le décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, suite à la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

Ce décret fixe la liste des services essentiels et les modalités de désignation des opérateurs de services essentiels.

Dans le secteur de la santé, pour les établissements de soins de santé, sont visés les prestataires de soins de santé dans le cadre des services concourant aux activités de prévention, de diagnostic ou de soins mais aussi les prestataires fournissant un service d’aide médicale à l’urgence. Ainsi, la réception et la régulation d’appels ainsi que le service mobile d’urgence et réanimation sont qualifiés de services essentiels.
Est également visée, pour les produits pharmaceutiques, la distribution pharmaceutique réalisée par les grossistes-répartiteurs.

​Sont désignés, comme opérateurs de services essentiels, les opérateurs fournissant au moins un service mentionné dans la liste sus mentionnée, lorsque des réseaux et systèmes d’information sont nécessaires à la fourniture dudit service ​et qu’un incident affectant ces réseaux et systèmes aurait des conséquences graves.

​Les​ critères d’appréciation de ces conséquences graves sont :
– le nombre d’utilisateurs dépendant du service;
– la dépendance des autres secteurs d’activités figurant dans la liste des services essentiels;
– les conséquences qu’un incident pourrait avoir sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique, en terme de gravité ou de durée;
– la part de marché de l’opérateur;
– la portée géographique eu égard à la zone susceptible d’être concernée par l’incident ;
– l’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service;
– le cas échéant, des facteurs sectoriels.

​Cette désignation est faite par arrêté du Premier Ministre. ​Chaque opérateur concerné reçoit une notification du Premier Ministre de son intention de le désigner comme opérateur de services essentiels. L’opérateur dispose d’un mois pour présenter ses observations. Les arrêtés sont notifiés aux opérateurs intéressés.

​Cela implique, pour les opérateurs, d’établir et tenir à jour la liste des réseaux et systèmes d’information, y compris ceux dont l’exploitation est confiée à un tiers,  et nécessaire à la fourniture des services essentiels, et la communiquer à l’Agence nationale de la sécurité des systèmes d’information. Un arrêté détermine les règles de sécurité à respecter.

Les opérateurs devront déclarer les incidents de sécurité à l’Agence nationale de la sécurité des systèmes d’information dès lors que ces incidents ont ou sont susceptibles d’avoir un impact significatif sur la continuité de ces services, et ce, sans préjudice des autres régimes de déclarations d’incidents auxquels les opérateurs seraient soumis. Les modalités de déclaration des incidents sont définis par un arrêté du Premier Ministre. A défaut de déclaration, les dirigeants des opérateurs encourent une amende de 75 000 €.

​Les opérateurs peuvent être soumis à des contrôles pour vérifier le respect des obligations et le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels. ​Prise par le Premier Ministre, la décision de contrôle est notifiée à l’opérateur, en précisant les objectifs et le périmètre du contrôle ainsi que le délai dans lequel le contrôle est réalisé.

Une amende de 100 000 € sanctionne les dirigeants des opérateurs qui ne se conformeraient pas aux règles de sécurité à l’issue du délai fixé par la mise en demeure adressée à l’occasion d’un contrôle.

​Le fait de faire obstacle à un contrôle est puni de 125 000 € d’amende. ​

Télécharger le PDF

mars 2018

Flash Info – RGPD – Désignation du délégué à la protection des données

2018-03-28T23:43:54+00:0028 mars 2018|Actualités|

La CNIL vient de mettre en ligne le télé-service permettant de désigner le délégué à la protection des données auprès de ses services.

C’est une étape importante dans la démarche de conformité au règlement européen sur la protection des données.

A cette occasion, la CNIL rappelle les 3 conditions requises pour devenir délégué à la protection des données. Il convient de s’assurer que le délégué à la protection des données ait les compétences requises. Il devra disposer des moyens suffisants pour remplir ses missions. Et il devra avoir la capacité d’agir en toute indépendance.

La désignation devra intervenir au plus tard le 24 mai 2018 et sera effective à compter du 25 mai 2018.

février 2018

Flash Info – RGPD – Accompagnement de la CNIL pendant la période transitoire

2018-02-19T23:48:30+00:0019 février 2018|Actualités|

A 3 mois de l’application du Règlement Général sur la Protection des Données (RGPD), la Commission Nationale Informatique et Liberté (CNIL) rappelle l’existence d’outils disponibles depuis son site : un modèle de registre des activités de traitement, le logiciel PIA pour faciliter la réalisation d’analyse d’impact. Elle annonce la rédaction de référentiels pour aider les organismes dans la mise en conformité de leurs traitements. Comme le prévoit le RGPD, elle devrait publier prochainement deux listes concernant les analyses d’impact : la première liste des traitements pour lesquels une analyse d’impact est requise, une seconde liste de traitements ne nécessitant pas d’analyse d’impact.

Quant à sa politique de contrôle, la CNIL annonce qu’elle continuera de vérifier de façon rigoureuse les principes fondamentaux de la protection des données qui sont, pour l’essentiel, inchangés. Concernant les nouvelles obligations ou les nouveaux droits issus du RGPD, si les organismes font preuve de bonne foi, sont engagés dans une démarche de conformité et coopèrent avec la CNIL, alors ces contrôles ne devraient, normalement, pas déboucher dans les premiers mois sur des procédures de sanction sur ces points.

Pour les formalités préalable en cours d’instruction, le 25 mai prochain, la CNIL annonce qu’elle ne sera pas en mesure de les traiter. Elle recommande donc aux responsables de traitement de privilégier les actions de mise en conformité au RGDP, le cas échéant, en réalisant une analyse d’impact, qui facilite la démarche de mise en conformité au RGPD. Pour les traitements déjà en cours et ayant fait l’objet de formalités ou consignés dans le registre du Correspondant Informatique et Liberté (CIL), l’analyse d’impact n’est pas nécessaire dans l’immédiat. Néanmoins, pour les traitements susceptible de présenter un risque élevé, l’analyse d’impact devra être menée dans un délai raisonnable, que la CNIL estime à 3 ans à compter du 25 mai 2018.