Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Les moyens numériques de l’entreprise I. La gestion et la protection des donnée

Les moyens numériques de l’entreprise I. La gestion et la protection des données informatiques de l’entreprise A. Le R.G.P.D. et ses objectifs Il s’applique à l’ensemble des organismes et entreprises privés ou publics. Il inquiète les entreprises, moins par sa thématique en grande partie déjà visée par la loi dite “informatique et libertés” de 1978, que par ses degrés d’exigence et de coercition plus élevés (l’amende maximum encourue est passée de 3 millions à 20 millions d’euros). Le choix de l’adoption par l’UE d’un Règlement pour remplacer une Directive sur le sujet n’est pas neutre : face à une démultiplication des échanges de données mais aussi des abus et des méfaits de la cybercriminalité, l’objectif est d’agir vite, de manière efficace et sans qu’Etats et entreprises ne puissent avoir prétexte à tarder à appliquer les règles ou les interpréter trop librement. Le R.G.P.D. cherche à prendre en compte la gestion des données personnelles (notamment recueil, conservation, échange, droit d’accès) dans une logique de protection des droits intellectuels, de la vie privée des personnes et des intérêts économiques des entreprises partenaires. Remarque : les “données à caractère personnel” ne sont pas forcément nominatives mais correspondent à toutes celles permettant d’identifier directement ou indirectement une personne (exemples : données récoltées par des cookies, numéro de sécurité sociale, adresse mail, ticket de cantine, plaque d’immatriculation, images, croisement de plusieurs données). Les principales obligations pour les entreprises découlant du R.G.P.D. Obligations organisationnelles - Nommer un Délégué à la Protection des Données ou “D.P.O.” (interne ou externe à l’entreprise) responsable de la mise en conformité de l’entreprise (ou des entités du groupe) avec le Règlement et en relation constante avec la C.N.I.L. - Cartographier et recenser, dans un registre régulièrement mis à jour, les données détenues. - Réaliser préalablement aux traitements des données personnelles des “Analyses d’Impact sur la Protection des Données” afin d’anticiper et mieux maîtriser les risques. - Au-delà de 250 salariés, tenir un registre des activités de traitement des données. - Organiser les procédures internes pour prendre en compte le traitement des données personnelles à l’occasion de tout nouveau mode de traitement. - Mise en place possible, par une organisation représentative d’un secteur d’activité donné, d’un code de conduite à faire valider par la C.N.I.L. Avant de collecter les données - Demander le consentement des personnes concernées pour la collecte et la conservation des données. - Les informer de la finalité, de la durée de traitement, de la conservation des données et de l’existence d’un “droit à l’oubli”. Après avoir collecté les données - Garantir la sécurité des données personnelles détenues. - Garantir le droit d’accès, de rectification et de destruction des données. B. Les sanctions prévues et prononcées 1. Les sanctions encourues a. Les sanctions administratives ● Les sanctions administratives encourues La question des sanctions relatives au non-respect du R.G.P.D. est plus complexe qu’il ne pourrait paraître du fait : - de l’intrication possible de sanctions civiles, pénales et administratives ; - de la graduation et de la hauteur des sanctions encourues ; - de la diversité des juridictions et organes à même de les prononcer. Plusieurs sanctions administratives successives pouvant être prononcées par la C.N.I.L. ont été graduées en fonction de la gravité des manquements constatés. Les sanctions administratives de la C.N.I.L. en cas de violation du R.G.P.D. 1er degré : “avertissement” ou “mise en demeure” de l’entreprise. 2e degré : “injonction de cesser” la violation. 3e degré : “limitation ou suspension temporaire des traitements” de données. 4e degré : amendes (“sanctions administratives”) après injonction vaine de l’autorité de contrôle. Amendes encourues (selon la nature de la règle non respectée) : - d’un montant maximum de 10 millions d’euros ou, pour une entreprise, de 2% de son CA mondial ; - d’un montant maximum de 20 millions d’euros ou, pour une entreprise, de 4% de son CA mondial. Les personnes sanctionnables sont : le responsable du traitement des données, le sous-traitant, l’organisme de certification et l’organisme de suivi des codes de conduite. ● Les sanctions administratives prononcées pour le moment Après une très courte période de clémence, les premières condamnations ont été prononcées, dont par exemple : - 18/11/2020 : la C.N.I.L. inflige une sanction de 2 250 000 € à Carrefour notamment pour manquements aux règles relatives à l’information des personnes, à la durée de conservation des données et à l’utilisation des cookies ; - 21/01/2019 : la C.N.I.L. condamne Google à 50 millions d’euros d’amende pour défaut d’informations claires de ses utilisateurs ; - 09/07/2019 : le groupe Marriott est condamné à une amende de 111 millions d’euros et la maison mère de British Airways 201,6 millions d’euros (pour vol de données) par l’I.C.O. (homologue de la C.N.I.L.) pour manquement à la sécurité des données dans le cadre du R.G.P.D. ; - 30/07/2019 : P.W.C. est condamnée à une amende de 150 000 € par une décision du 30/07/2019 de la Hellenic Data Protection Authority pour violation du R.G.P.D. dans le cadre de la collecte de données relatives à ses salariés ; - 07/06/2018 : condamnation d’Optical Center par la C.N.I.L. à 250 000 € pour fuite de données (condamnation réduite à 200 000 €). Il avait déjà été condamné le 19/06/2017 pour manquement à des obligations de sécurité et de confidentialité concernant 170 000 comptes utilisateurs, des fuites de données ayant permis à des internautes d’accéder à des factures, données de santé et numéros de sécurité sociale de centaines de clients ; - 28/05/2019 : un administrateur de biens est condamné par la C.N.I.L. à 400 000 € d’amende. Il conservait en base active des données à caractère personnel de candidats n’ayant pas accédé à la location (la règle de la suppression des données dans les 3 mois ou de l’archivage n’avait pas été respectée) ; - 21/11/2019 : la C.N.I.L. inflige 50 000 € d’amende à une entreprise pour violation du R.G.P.D. dans le cadre de ses opérations de démarchages téléphoniques. b. Les sanctions civiles et pénales ● Les sanctions civiles Possibilité de demander des dommages et intérêts en cas de dommages matériels et/ou moraux (sur la base de l’article 1240 du Code civil). ● Les sanctions pénales Sanctions pénales en cas de violations n’ayant pas déjà fait l’objet de sanctions administratives prévues par le R.G.P.D. Infractions Sanctions L’une des infractions suivantes notamment : non-respect des formalités préalables en procédant ou faisant procéder à la récolte des données ; non-respect des mesures relatives à l’obligation de sécurité ; non-notification par un fournisseur de services de communications électroniques ou pour un responsable de traitement d’une violation de données à caractère personnel à la C.N.I.L. ou à l’intéressé ; collecte de données à caractère personnel par un moyen frauduleux ; détournement de la finalité du traitement de données personnelles ; conservation des données au-delà de la durée légale. 300 000 € d’amende et/ou 5 ans de prison. L’une des infractions suivantes : absence d’information des personnes concernées ; non-respect des droits des personnes. 1 500 € d’amende par infraction constatée. II. Les conditions de création et gestion d’un site Internet marchand A. Les obligations liées à la création et au fonctionnement d’un site marchand 1. Le nom de domaine Pour le déposer, il est possible de s’adresser notamment à l’A.F.N.I.C. S‘applique la règle du “premier arrivé, premier servi”. Caractéristiques et vigilances relatives au nom de domaine : - les droits d’utilisation du nom de domaine d’un site Internet sont considérés comme des éléments incorporels de l’actif immobilisé ; - acheter le nom de domaine, bien que disponible, d’un ancien concurrent est constitutif d’un acte de concurrence déloyale s’il crée une confusion dans l’esprit du public ; - un nom de domaine constitue une antériorité opposable à une marque s’il est réellement exploité au travers d’un site actif. 2. Le contenu du site Les créateurs de sites veilleront à respecter le Code de la Propriété Intellectuelle (C.P.I.) et en particulier ses articles L. 112-1 et suivants qui protège “les droits des auteurs sur toutes les œuvres de l’esprit”. Il convient de faire apparaître des C.G.V. comportant des mentions obligatoires claires, complètes et non “léonines”. Le consommateur ne pourra terminer sa commande et payer qu’après avoir indiqué en avoir pris connaissance de certaines informations précontractuelles. Les C.G.V. doivent être : - originales ; - transmises sur un “support fiable”. B. Les responsabilités générées par l’utilisation d’un site marchand De multiples acteurs ont des responsabilités générées par la création, la gestion, l’exploitation et l’utilisation de sites marchands : prestataires, créateurs, hébergeurs, consommateurs et éditeurs. Obligations des prestataires créateurs de sites Obligation de résultat T.G.I. de Bobigny, 21/02/2017 : résiliation d’un contrat de refonte et de référencement d’un site aux torts du prestataire pour défaut de conformité du produit mis en service par rapport aux besoins exprimés par le client. Obligation de maintenance Cour de cassation, chambre commerciale, 06/12/2016 : est justifiée la résiliation du contrat d’un prestataire chargé de la maintenance de sites Internet qui tardait à réagir pour régler les problèmes récurrents affectant les sites. Obligation de paiement des redevances uploads/Management/ les-moyens-numeriques-de-l-x27-entreprise.pdf