Actualités

Actualités

Retour à la liste des articles

ACTUALITÉS RGPD : protection des données et contrôles de la CNIL

ACTUALITÉS RGPD : protection des données et contrôles de la CNIL

Annonce des points de contrôle de la CNIL

La prospection commerciale

Après une longue phase de concertation avec les différents acteurs concernés, la CNIL a publié, en février 2022, un nouveau référentiel « gestion commerciale », encadrant notamment la réalisation d’actions de prospection commerciale et qui était accompagné de nombreuses ressources pour guider les acteurs dans leur mise en conformité.

En s’appuyant sur le référentiel récemment publié, la CNIL vérifiera la conformité au RGPD des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers).

Les outils de surveillance dans le cadre du télétravail

Dans une volonté constante d’accompagnement, la CNIL a largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs. Elle considère aujourd'hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs.

Utilisation du Cloud

Ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration.

Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies, devenues incontournables, fassent l’objet d’une attention particulière. Elle approfondira, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.

Un changement dans la manière de faire les contrôles

On attend encore le décret d’application

rgpd

Décision sur l’utilisation de Google Analytics

Par une décision en date du 10 février 2022, la CNIL en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées, grâce à l’outil google Analytics, sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux et impose à un gestionnaire du site web français de se conformer au RGPD et, si nécessaire, de ne plus utiliser cet outil dans les conditions actuelles. En effet, Google Analytics permet de disposer de statistiques de fréquentation d’un site web.

Concernant les services de mesure et d’analyse d’audience d’un site web, la CNIL recommande que ces outils servent uniquement à produire des données statistiques anonymes, permettant ainsi une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégal. La CNIL a d’ailleurs lancé un programme d’évaluation pour déterminer les solutions exemptées de consentement.

Des « instructions » pour prospecter en conformité

Finalités Base légale Durée de conservation recommandée
Gestion des contrats & Programmes de fidélité Gestion des Commandes, de la livraison, de l’exécution du service ou fourniture du bien, etc. Exécution du contrat Durée de la relation contractuelle
Tenue de la Comptabilité Obligations comptables, fiscales, etc. Respect d’une obligation légale de conservation des données (par exemple, l’obligation de s'assurer de
l'identité de la personne en demandant la fourniture sous la forme d’archive intermédiaire : durée légale de
conservation (par exemple, obligation comptable de 10 ans). La pièce d'identité est conservée le temps
nécessaire pour procéder à la vérification d'un justificatif d'identité)
Sous la forme d’archive intermédiaire : durée légale de conservation (par exemple, obligation comptable de
10 ans). La pièce d'identité est conservée le temps nécessaire pour procéder à la vérification de l'identité
de la personne concernée. Une copie d'un titre d'identité peut être conservée pendant la durée de 6 ans si
celle-ci est nécessaire à des fins de preuve ou pour répondre à une obligation légale
Suivi de la relation client Enquêtes de satisfaction Intérêt légitime de l'organisme ou Consentement* Durée nécessaire pour la réalisation de l'objectif de l'enquête ou jusqu'à l'exercice du droit d'opposition
ou le retrait du consentement
Gestion des réclamations Exécution du contrat Durée de la relation contractuelle
Service après-vente Exécution du contrat Durée de la relation contractuelle
Sélection de clients / Etudes / Enquêtes Etudes sur la qualité des produits Intérêt légitime de l’organisme ou consentement Durée nécessaire pour la réalisation de l'objectif de l'étude ou jusqu'à l'exercice du droit
d'opposition ou le retrait du consentement
Test de produits
Statistiques de vente Intérêt légitime de l’organisme Durée nécessaire pour la réalisation de l'objectif visé par les statistiques ou jusqu'à l'exercice du droit
d'opposition
Actions de prospection commerciale, (messages publicitaires, jeux concours, parrainage,
promotion, etc.).
Par voie électronique (en vue de l’envoi de courriel, SMS, système automatisé de communication électronique
sans intervention humaine, etc.),pour des biens ou services qui n’ont pas déjà été achetés par les personnes
visées
Consentement (voir art. L. 34-5 du CPCE) Jusqu'au retrait du consentement ou 3 ans à compter du dernier contact des personnes avec
l'organisme
Par voie postale ou système automatisé d'appels donnant lieu à intervention humaine et appels
téléphoniques
intérêt légitime de l'organisme ou consentement*
À destination de professionnels (Par voie électronique, postale ou téléphone
Par voie électronique, pour des biens et services analogues déjà achetés / souscrits auprès du responsable
de traitement

https://www.cnil.fr/sites/default/files/atoms/files/referentiel_traitements-donnees-caractere-personnel_gestion-activites-commerciales.pdf

Gestion des impayés dans une transaction commerciale

https://www.cnil.fr/sites/default/files/atoms/files/referentiel_traitements-donnees-caractere-personnel_gestion-impayes_transaction_commerciale.pdf

Le principal apport concerne les exigences de sécurité attendue en la matière.

Le document précise les données personnelles concernées qui peuvent être relatives :

  • L’identification de la personne concernée (qui peut être le débiteur ainsi que la ou les personnes physiques ayant la qualité de caution car s’étant engagées à remplir l’obligation du débiteur en cas de défaillance de ce dernier) ;
  • Aux moyens de paiement utilisés ;
  • A l’incident de paiement : numéro de dossier, date de survenance de l’impayé, montant de l’impayé, objet de l’impayé (descriptif du produit ou du service n’ayant pas fait l’objet de paiement par la personne concernée)

Les durées de conservation proposées sont :

Si l’organisme choisit de conserver les données pour une durée plus longue que celle proposée par le référentiel, il devra s’assurer que cette durée n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En cas de régularisation de l’impayé, les informations relatives à la personne concernée devraient être effacées du fichier recensant les personnes en situation d’impayé dans les 48 heures suivant le constat de la régularisation par l’organisme ou à partir du moment où l’impayé a été effectivement soldé.

En cas de non-régularisation, les informations peuvent être conservées dans le fichier recensant les personnes en situation d’impayés et les excluant de ce fait du bénéfice d’une prestation, dans la limite de 5 ans à compter de la survenance de l’impayé. En tout état de cause, elles peuvent être archivées si l’organisme en a l’obligation légale (par exemple, pour répondre à des obligations comptables ou fiscales) ou si l’organisme souhaite se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable.

Catégories Mesures
Sensibiliser les utilisateurs Informer et sensibiliser les personnes accédant aux données.
Rédiger une charte informatique et lui donner une force contraignante.
Authentifier les utilisateurs Définir un identifiant (login) propre à chaque utilisateur.
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL.
Obliger l’utilisateur à changer son mot de passe après réinitialisation.
Ne pas stocker les mots de passe en clair.
Limiter le nombre de tentatives d’accès à un compte.
Gérer les habilitations Définir des profils d’habilitation.
Supprimer les permissions d’accès obsolètes.
Réaliser une revue annuelle des habilitations.
Tracer les accès et gérer les incidents Prévoir un système de journalisation.
Informer les utilisateurs de la mise en place du système de journalisation.
Protéger les équipements de journalisation et les informations journalisées.
Prévoir les procédures pour les notifications de violation de données à caractère personnel.
Sécuriser les postes de travail Prévoir une procédure de verrouillage automatique de session.
Utiliser des antivirus régulièrement mis à jour.
Installer un « pare-feu » (firewall) logiciel.
Recueillir l’accord de l’utilisateur avant toute intervention sur son poste.
Sécuriser l'informatique mobile Prévoir des moyens de chiffrement des équipements mobiles.
Faire des sauvegardes ou des synchronisations régulières des données.
Exiger un secret pour le déverrouillage des ordiphones.
Protéger le réseau informatique interne Limiter les flux réseau au strict nécessaire.
Sécuriser les accès distants des appareils informatiques nomades par VPN.
Mettre en œuvre les protocoles WPA2 ou WPA2-PSK pour les réseaux Wi-Fi.
Sécuriser les serveurs Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.
Installer sans délai les mises à jour critiques.
Assurer une disponibilité des données.
Sécuriser les sites web Utiliser le protocole TLS et vérifier sa mise en œuvre.
Vérifier qu'aucun mot de passe ou identifiant n'est incorporé aux URL.
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu.
Recueillir le consentement pour les cookies et autres traceurs non nécessaires au service.
Sauvegarder et prévoir la continuité d'activité Effectuer des sauvegardes régulières.
Stocker les supports de sauvegarde dans un endroit sûr et éloigné du site principal.
Prévoir des moyens de sécurité pour le convoyage des sauvegardes.
Prévoir et tester régulièrement la continuité d'activité.
Archiver de manière sécurisée Mettre en œuvre des modalités d’accès spécifiques aux données archivées.
Détruire les archives obsolètes de manière sécurisée.
Encadrer la maintenance et la destruction des données Enregistrer les interventions de maintenance dans une main courante.
Encadrer par un responsable de l’organisme les interventions par des tiers.
Effacer les données de tout matériel avant sa mise au rebut.
Gérer la sous- traitance Prévoir des clauses spécifiques dans les contrats des sous-traitants.
Prévoir les conditions de restitution et de destruction des données.
S’assurer de l'effectivité des garanties prévues (audits de sécurité, visites, etc.).
Sécuriser les échanges avec d'autres organismes Chiffrer les données avant leur envoi.
S’assurer qu'il s'agit du bon destinataire.
Transmettre le secret par un envoi distinct et via un canal différent.
Protéger les locaux Restreindre les accès aux locaux au moyen de portes verrouillées.
Installer des alarmes anti-intrusion et les vérifier périodiquement.
Encadrer les développements informatiques Proposer par défaut des paramètres respectueux de la vie privée aux utilisateurs finaux.
Éviter les zones de commentaires libres ou les encadrer strictement.
Tester sur des données fictives ou anonymisées.
Utiliser des fonctions cryptographiques Utiliser des algorithmes, des logiciels et des bibliothèques reconnus.
Conserver les secrets et les clés cryptographiques de manière sécurisée.

Contactez-nous !

Nos coordonnées

Adresses

Rond-Point de la République Z.I. des 4 Chevaliers Rue Paul Vatine - bâtiment N°11 17180 PERIGNY (La Rochelle/Charente-Maritime)
86 avenue Maryse Bastié 16340 L’ISLE D’ESPAGNAC (Angoulême/Charente)
Le Médoc 61 route Jean Briaud 33700 MERIGNAC (Bordeaux/Gironde)

Téléphones

Contact : 05 16 50 80 20

Support : 05 86 07 77 77

Formulaire de contact Novenci

Je reconnais avoir pris connaissances de la Politique de confidentialité.