Le Conseil d'Etat valide la sanction infligée à Google début 2019 par la Cnil, l'autorité de protection des données en France, pour violation de la réglementation en vigueur en la matière (RGPD). Cette nouvelle législation change les rapports de force établis, disrupte la façon de penser l'exploitation de la donnée et l'évolution technologique, ainsi que les attentes des clients européens en matière de respect de leurs droits et libertés. En cas de violation, les sanctions prononcées peuvent atteindre 4% des revenus mondiaux de l'organisation, voire beaucoup plus, en cas d'action de groupe en réparation des dommages. Pour autant, enfreindre le RGPD est un risque évitable en 2020. Découvrez dans l'article six principes fondamentaux listés par l'équipe Alcees qui déclinés opérationnellement, vont permettre de prémunir l'entreprise de problèmes de trésorerie en 2020.
Manquements relevés et faits reprochés
L'histoire remonte à janvier 2019. La Cnil condamne Google à payer une amende de 50 millions d'euros pour manquements à ses obligations dans le cadre du RGPD.
Cette condamnation donne suite à la plainte de l’association None Of Your Business et de l’association La Quadrature du Net. Ces dernières reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services.
De son côté, la Cnil reprochait à Google d’avoir manqué à deux points du Règlement général sur la protection des données :
- manque de transparence et défauts d’informations : elle a évalué l’information de l’utilisateur concernant l’utilisation de ses données trop compliquée à accéder par celui-ci; elle a jugé les informations mises à la disposition de l’utilisateur par Google trop vagues pour que celui-ci comprenne l’ampleur du traitement de ses données ; toujours d’après la Cnil, ces informations étaient récoltées de manière intrusive et excessive sur les différents services proposés par le géant du Web.
- consentement non-valable : elle a également relevé la non-conformité du consentement de l’utilisateur concernant la personnalisation de la publicité, un consentement passant par une case pré-cochée, une pratique contraire au Règlement.
Par ailleurs, le Conseil d’État relève que Google n’aurait également pas respecté le RGPD en ne délivrant pas des informations claires aux utilisateurs d’Android, le système d’exploitation mobile de la firme. Par la suite, le géant américain exerce en recours , rejeté en mai 2019.
Décision du Conseil d'État
Un an après le rejet de son recours, Google est finalement sanctionné après validation du Conseil d’État.
Google axait son recours sur des vices de procédures de la CNIL. En effet Google maintenait que la CNIL n’avait pas le pouvoir de les sanctionner, les décisions en cause n’étant pas prises par son établissement irlandais mais par la société Google LLC implantée aux États-Unis. Mais, la politique de guichet unique mise en place n’étant pas applicable, la sanction était bien légitime et même applaudie par le Comité européen de protection des données.
Cette amende établit un nouveau record dans les amendes distribuées par le CNIL, une sanction exemplaire pour un abus de traitement de données personnelles, l’amende la plus élevée sur l’exercice 2019 de la Cnil, la plus grosse sanction en Europe à ce jour.
Violation du RGPD : un risque évitable
La violation du RGPD : un risque évitable en 2020, à condition que les traitements de données personnelles respectent six principes fondamentaux :
- Principe #1 : limitation des finalités
Conformément à ce principe, les finalités, c'est-à-dire, les objectifs poursuivis par l'entreprise responsable de traitement doivent être déterminés à l'avance. La personne concernée doit être informée de façon explicite, c'est-à-dire dans des termes clairs, compréhensibles pour elle. Et surtout, les finalités doivent être légitimes, par rapport aux activités exercées par l'entreprise.
- Principe #2 : licéité, de loyauté et de transparence
Les données doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ». Ce principe vise à garantir la transparence dans le traitement. Il ne peut y avoir de traitements de données cachés. De plus, les personnes concernées doivent consentir à ces traitements.
- Principe #3 : minimisation des données
Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe vise à garantir que l’ensemble des données collectées est strictement nécessaire par rapport à l’objectif poursuivi et à exclure toute collecte réalisée au cas où ces données se révéleraient utiles a posteriori.
- Principe #4 : exactitude des données
Le responsable du traitement doit s'assurer que les données sont « exactes et, si nécessaire, tenues à jour ; il doit pour cela mettre en placeune procédure d'actualisation régulière des données qui lui sont confiées.
- Principe #5 : limitation de la conservation des données
Le responsable du traitement doit s'assurer que les données sont conservées pour une durée déterminée, permettant de répondre à la finalité du traitement. Il doit prendre des mesures organisationnelles et techniques (chiffrement, pseudonymisation, anonymisation -à condition que celle-ci ne soit pas réversible-...) appropriées afin de garantir les droits et libertés de la personne concernée par le traitement.
Externalisation de la mise en conformité RGPD des traitements
Le RGPD autorise une externalisation de l’exercice du rôle de conseil et de contrôle de la conformité avec les dispositions du RGPD incarné dans la fonction Data Protection Officer (DPO) ou le Délégué à la Protection des Données (DPD), obligatoire dans certains cas. Cette fonction succède à celle de Correspondant à la protection des données (CIL) dont la désignation en France était jusqu’alors facultative. Par ailleurs, le DPO assure la documentation de la conformité de l’organisation afin de répondre aux exigences d’accountability.
A propos d'Alcees
Alcees est une esn pure player cybersécurité. Elle propose des solutions-conseils spécialisées notamment en management et protection des données à caractère personnel des utilisateurs. Ce qui l’amène à intervenir dans des secteurs variés tels que : banques, assurances, opérateurs de santé et d’e-santé, sociétés d’e-commerce, collectivités et entreprises publiques, de taille petite ou grande.
Alcees accompagne ses clients dans l’exécution de leurs obligations dans le cadre du RGPD. Il est également possible de réussir leur mise en conformité au RGPD de façon externalisée. Nos solutions de DPO externalisé intègrent toutes les nouveautés à implémenter, tant au plan organisationnel, que juridique, que technique.
Quels sont les avantages concrets à se faire accompagner par Alcees dans la conformité au RGPD ?
- améliorer l’efficacité commerciale autant que l’expérience client
- développer de nouvelles pratiques porteuses de sens commun (éthique, sécurité, protection des intérêts du consommateur, respect des droits et des libertés)
- offrir des avantages aux entreprises : renforcer la sécurité des données permet de limiter les risques de problèmes d’indisponibilité, de confidentialité qui peuvent affecter les délais de livraison des produits ou des services, et plus loin affecter la réputation ou l’image de l’entreprise.
Si vous souhaitez en savoir plus, n’hésitez pas à contacter notre équipe commerciale.
[Analyse] Quelles limites à l’anonymisation des données ?
Le saviez-vous ? Révélée cet été par un article dans l’Echo, quotidien économique de référence pour la Belgique francophone, l’utilisation des données personnelles anonymisées vient d’être mise en échec par une découverte scientifique majeure.
[Infographie] Collectivité et Rançonlogiciel : 9 mesures pour mieux s’y préparer et réagir
En transition digitale, les collectivités territoriales affichent comme une insuffisance de préparation ou de plan de réponse par rapport à un risque économique à sous-estimer de moins en moins : le rançonlogiciel. Dernière illustration en dates du 14 au 21 février : l’arrêt de 80 serveurs informatiques de la région Grand-Est…
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.
AIDE ◣
quoi de neuf sur le blog alcees ? ◣
réseaux sociaux ◣
Suivez Alcees et prolongez l’expérience !
EN PRATIQUE ◣
Siège social : 4 Rue des Pichets 92220
Paris-Bagneux
Lun – Ven de 09:00 à 19:00
T: +33 (1) 45 46 85 28
M: +33 (0) 6 20 73 19 74
Email:information@alcees.com
Web: www.alcees.com