juillet 2020

Données personnelles – Invalidation du Privacy Shield

2020-07-24T20:01:17+00:0024 juillet 2020|Actualités|

Le Comité Européen à la Protection des Données (ou EDPB) a publié un « questions-réponses » relatif à l’invalidation du Privacy Shield par un arrêt de la Cour de Justice de l’Union européenne (C-311/18) rendu la semaine dernière, le 16 juillet 2020. Cet arrêt fait suite à une demande de décision préjudicielle introduite par la Haute Cour irlandaise, dans une affaire opposant Facebook et Maximilien Schrems.

La Cour de Justice de l’Union européenne a jugé que le Privacy Shield n’assurait pas une protection des données personnelles équivalente à celle mise en place au sein de l’Union européenne. Certaines exigences américaines limitent la protection des données personnelles, notamment la loi américaine n’accorde pas aux personnes concernées de droits de recours devant les tribunaux contre les autorités américaines.

Cette décision est d’application immédiate.

Pour les responsables de traitement et les sous-traitants qui transfèrent des données personnelles depuis l’Union européenne vers des organismes situés aux Etats-Unis, il convient de

  •  Identifier les traitements de données concernés par de tels transferts de données,
  •  Vérifier si ces transferts sont réalisés et conformes à l’aide du Privacy Shield,
  •  Dans ce cas, revoir et mettre à jour l’analyse d’impact relative à ces traitements de données pour évaluer les mesures complémentaires de sécurité à mettre en place ainsi que les clauses contractuelles standards ou autres garanties appropriées.
Télécharger le PDF
Télécharger le PDF

juin 2020

CNIL – Publication du rapport d’activités 2019

2020-06-09T15:04:28+00:009 juin 2020|Actualités|

Dans son rapport d’activités pour 2019, paru ce matin, la CNIL constate que de nombreuses plaintes font suite principalement

  • à la réception de prospection,
  • au non-respect des droits des personnes, notamment le droit d’accès à des dossiers personnels dont 42 % sur l’accès au dossier médical,
  • aux défauts de sécurisation des données, avec les mots de passe transmis en clair ou non suffisamment complexe.

La CNIL révèle avoir procédé à 300 contrôles dont :

  • 169 contrôles sur place,
  •  53 contrôles en ligne,
  • 45 contrôles sur pièce,
  • 18 auditions.

Plus du tiers de ces contrôles font suite à des plaintes ou des réclamations. Et presque un quart fait suite à des signalements de violations de données personnelles.

Si la CNIL a noté plusieurs mauvaises pratiques, notamment concernant :

  •  des délais excessifs pour répondre aux demandes d’exercice de droits,
  •  l’absence de lien de désabonnement dans les courriels de prospection commerciale,
  •  le fait qu’un client ne puisse pas supprimer son compte en ligne par lui-même.

Elle souligne plusieurs bonnes pratiques tel que

  • l’élaboration de réponses types à destination du service client pour gérer l’exercice des droits des personnes,
  •  l’utilisation d’une adresse électronique dédiée par un service unique,
  • le traçage des demandes d’exercice des droits dans un outil spécifique.
Télécharger le PDF