La CNIL a publié son bilan sur les violations de données intervenues au cours des cinq années d’application du RGPD. Elle revient notamment sur les sources des violations, les délais et les bonnes pratiques à adopter.
Souvent utilisés sur les sites internet pour améliorer leurs performances, les cookies sont des outils très utiles, mais également intrusifs pour l’utilisateur. Retrouvez dans cette news les points d’attention sur la façon d’informer et de recueillir le consentement lorsque cela est nécessaire.
Retour sur les cookies : nécessaires au fonctionnement, publicité ciblée, réseaux sociaux… Sont-ils toujours soumis au consentement de l’utilisateur? Combien de temps les conserver?
QU’EST-CE QU’UN REGISTRE DE TRAITEMENTS ?
Véritable outil de pilotage de la conformité de son organisme, chaque responsable de traitement doit mettre en place un registre des activités de traitement effectuées sous sa responsabilité.
Il est également exigé de tenir un registre des catégories d’activités de traitement si le responsable de traitement réalise des activités mais en tant que sous-traitant cette fois.
Le registre de traitement n’est pas obligatoire pour les entreprises de moins de 250 salariés sauf si :
Obligatoire ou non, il est recommandé d’en tenir un dans tous les cas : cela permet d’avoir une vision d’ensemble des traitements menés par l’organisme, et de mieux piloter sa conformité.
A noter que les traitements non occasionnels recouvrent des cas très particuliers : il doit s’agir de traitements non routiniers, qui interviennent de manière épisodique, de façon très limitée.
Bonne pratique : en cas de recours à un registre de traitement commun à plusieurs organismes, il faut veiller à bien identifier qui est le responsable de chaque traitement. La CNIL a récemment retenu un manquement à l’obligation de tenir un registre pour une société qui tenait un registre commun avec une société rachetée, au motif qu’il n’était pas possible d’identifier clairement les traitements effectués par l’une ou l’autre des sociétés.
Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données. Aucune forme précise n’est imposée par la règlementation, le tout est d’avoir un registre écrit (papier ou électronique) reprenant les mentions obligatoires, telles que prévues à l’article 30 du Règlement général sur la protection des données.
Le nom et les coordonnées du responsable du traitement, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données :
Le RGPD a renforcé le droit d’accès qui permet aux personnes concernées de connaître les données que le responsable de traitement détient sur elles. A réception d’une demande de droit d’accès, le responsable de traitement dispose d’un mois pour y répondre, et transmettre dans un format lisible, et aisément compréhensible les données concernées.
Attention, à ne pas confondre le droit d’accès au titre du RGPD avec le droit d’accès au dossier médical !
Prévu par le code de la santé publique, il est également possible de demander à accéder à son dossier médical. Dans ce cas, le médecin, ou l’établissement concerné, dispose d’un délai plus court : la transmission du dossier médical doit intervenir entre 48h et 8 jours après la réception de la demande concernant les informations datant de moins de cinq ans, et dans les deux mois pour les informations ayant plus de cinq ans.
|
Droit d’accès RGPD |
Droit d’accès au dossier médical | |
|
Source |
Article 15 RGPD |
Article L1111-7 code santé publique (CSP) |
|
Délai |
1 mois maximum après la demande |
Entre 48h et 8 jours maximum pour les informations datant de moins de 5 ans Jusqu’à 2 mois pour les informations datant de plus de 5 ans |
|
Contenu |
Toutes les données traitées sur la personne concernée ainsi que les informations relatives au traitement tel que prévu à l’article 15 du RGPD (finalité, destinataire….) |
Transmission du dossier médical : contenu défini par le code (les notes du médecin ne sont pas transmissibles) |
Pour 2024, la CNIL et ses homologues européens ont décidé, au titre de la troisième action du cadre d’application coordonné, de procéder à des vérifications des conditions de mise en œuvre du droit d’accès.
Date : 09/02/2024
Fin avril 2021, une procédure d’adoption de la décision d’adéquation pour les transferts de données à caractère personnel vers le Royaume-Uni avait été lancée par la Commission européenne. (Cf. News du 23 avril 2021) Le 28 juin 2021, à trois jours de la fin de période transitoire à la suite du Brexit, l’ensemble des Etats membres est parvenu à un accord sur l’adoption de la décision d’adéquation. Cette décision permet de transférer de continuer les transferts vers le Royaume-Uni au même titre que ceux réalisés au sein même de l’Union européenne, c’est-à-dire sans qu’aucune mesure supplémentaire ne soit nécessaire. Cette décision restera applicable jusqu’au 25 juin 2025, sauf si elle fait l’objet d’une prorogation ou, au contraire, d’une abrogation si les conditions de protection ne sont plus assurées par le Royaume-Uni.
Ouvertes depuis 2017, les discussions avec la République de la Corée du Sud pour parvenir à une décision d’adéquation sont en bonne voie. Un projet de décision d’adéquation pour les transferts de données à caractère personnel vers la Corée du Sud a été rendu public le 3 juin dernier. La version définitive devrait être adoptée et publiée prochainement.
L’adoption de cette décision d’adéquation permettra de ne plus utiliser les clauses contractuelles types (CCT) de la Commission européenne qui viennent d’ailleurs d’être mises à jour et sont entrées en vigueur le 27 juin 2021. Une période de transition jusqu’au 27 décembre 2022 est accordée aux responsables de traitement et sous-traitants utilisant les anciennes clauses pour se conformer aux nouvelles CCT, sous réserve que les traitements, objet du contrat actuel, restent inchangés.
Du 3 juin au 3 septembre 2021, la Commission européenne lance une consultation publique afin de recueillir les avis de toute personne physique ou morale permettant d’élaborer l’acte législatif sur les données, le « Data Act ». Sont ainsi invités à participer tant les associations professionnelles, les entreprises que les syndicats et citoyens.
Par cette initiative, la Commission entend créer « une économie fondée sur des données équitables en garantissant l’accès aux données et leur utilisation pour des finalités légitimes, y compris dans des situations interentreprises et entre les entreprises et les administrations publiques ».
Différents points sont abordés au travers de cette consultation :
La Commission prévoit de présenter sa proposition de « Data Act » pour la fin de l’année 2021.
Si vous êtes intéressé par cette consultation publique et vous souhaitez participer, rendez-vous directement sur cette page pour remplir le questionnaire en ligne.
