27 novembre 2019

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#274 sanction CNIL délibération du 21 novembre 2019

#274 sanction CNIL délibération du 21 novembre 2019

#274 sanction CNIL délibération du 21 novembre 2019

[mis à jour le 5 janvier 2020] Commentaire rapide (en BD) de la nouvelle décision de sanction CNIL FUTURA du 21 novembre 2019, publiée ce 27 novembre 2019.

C’est une décision de condamnation pour non-respect des obligations juridiques à la charge d’un responsable de traitement dont le sous-traitant agissait… de manière légère au regard de la règlementation sur la protection des données personnelles.

Pour celles et ceux qui s’intéressent à l’application du RGPD, cette décision n’est pas – au fond – une surprise, vu les manquements relevés par l’Autorité de contrôle française.

[mise à jour du 6 octobre 2020 : si vous souhaitez mettre cette délibération de sanction en perspective avec l’ensemble de la jurisprudence « RGPD » depuis 2011, vous pouvez cliquer sur le lien.]

non-respect du droit d'opposition à prospection commerciale

A ma connaissance, c’est la première fois que la CNIL condamne une entreprise sur le fondement du non-respect du droit d’opposition à prospection commerciale depuis l’entrée en vigueur du RGPD (le 25 mai 2018 pour celles et ceux, sans doute peu nombreu/ses/x à avoir oublié cette date).

non-respect des règles de transfert hors Union Européenne

A ma connaissance encore, c’est une première condamnation de la CNIL pour non-respect par une entreprise des règles de transfert hors Union Européenne de données à caractère personnel.

Sur ce point, il s’agissait probablement pour la CNIL de pointer une pratique (extrêmement) répandue pour les entreprises françaises, à savoir l’utilisation de plateformes téléphoniques situées en Afrique du Nord.

Malheureusement pour ces entreprises, aucun pays d’Afrique du Nord ne dispose d’une décision d’adéquation (de protection des données personnelles) qui permette de transférer légalement ces données personnelles depuis l’UE.

Et à ce jour, seul l’usage de clauses contractuelles type, sur le modèle validé par l’UE, permet une telle exportation de données.

Je voius rappelle que ces clauses sont à utiliser sans aucune modification, et que ce « contrat » de transfert de données doit IMPERATIVEMENT être soumis au droit de l’un des Etats membres de l’UE (ce n’est pas une option, c’est une obligation…).

une première sanction en pourcentage du montant du chiffre d'affaire de l'entreprise condamnée.

A ma connaissance – enfin -, c’est également la première fois que la CNIL justifie une décision de condamnation avec un pourcentage relatif au montant du chiffre d’affaire de l’entreprise condamnée.

 

CNIL 21 novembre 2019 FUTURA : la synthèse

CNIL sanction FUTURA (délibération 21 novembre 2019) : la présentation en BD dans le slider ci-dessous

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ