Pourquoi un post « actualité RGPD juin 2021 » #France et #UE ?
[mis à jour le 21 juin 2021] Parce que ce mois de juin nous fournit, à nous juristes, deux textes très importants et une nouvelle délibération de condamnation par la CNIL !
actualité RGPD juin 2021 : en France (et pour l'Europe !)
ENFIN !
L’actualité RGPD juin 2021, c’est le premier Code de conduite Européen validé par la CNIL ce 3 juin 2021 !!!
Sa premiere version remonte à 2017…. Oui, les hébergeurs européens ont tout de suite compris à la lecture du RGPD (pas encore entré en vigueur) tout le bénéfice qu’ils pourraient tirer d’un Code de conduite commun, homologué par une Autorité de contrôle (suivant la procédure de l’article 40 RGPD pour les juristes les plus pointu(e)s).
C’est chose faite depuis la publication le 3 juin de la délibération n°2021-065 de la CNIL.
actualité RGPD juin 2021 : la CNIL prend son temps…
Les grincheux (comme moi) se demandent pourquoi ce code, transmis à la CNIL en 2019 n’a été à son tour transmis par la CNIL au Board des autorité de contrôle qu’en février 2021… mais bon…
Ne cherchez plus ce « Data Protection Code of Conduct for Cloud Infrastructure Service Providers« , cliquez sur ce lien pour y accéder en version anglaise.
actualité RGPD juin 2021 : EN SYNTHESE sur le CISPE
Sont visés les services d’hébergement de type SaaS (Software as a Service) et IaaS (Infrastructure as a Service).
Si votre hébergeur de données personnelles se certifie « CISPE », vous, responsable de traitement, pourrez garantir contractuellement à vos users que leurs données personnelles sont hébergées dans des conditions conformes au RGPD.
Autre bénéfice pratique, entre professionnels, vous pourrez ainsi vous référer à la validation CISPE de l’hébergeur pour vous épargner de longues pages d’annexes RGPD…
actualité RGPD juin 2021 : en provenance de l'UE, les nouvelles clauses contractuelles type !
L’actualité RGPD juin 2021 nous vient aussi de l’UE.
Depuis l’annulation du Privacy Shield en juillet 2020, les européens qui souhaitaient exporter des données personnelles (par exemple aux USA…) ne disposaient plus que d’un instrument juridique vieillot et contesté : les clauses contractuelles type de 2010, adoptées à l’époque de feu la Directive 95/46.
Puisque les négociations sur l’adoption d’un successeur au Privacy Shield semblent enlisées, il fallait bien que l’UE fasse quelque chose…
Le résultat est là : le 4 juin, adoption des nouvelles clauses contractuelles type (Décision d’exécution (UE) 2021/914 de la Commission).
SYNTHESE : ne vous compliquez pas la vie, adoptez ces clauses contractuelles type telles quelles, dans la mesure où leur rédaction est… obligatoire…
actualité RGPD juin 2021 - RAPPEL : les 5 options en 2021 pour exporter des données personnelles HORS UE
actualité RGPD juin 2021 en France : une première décision de condamnation de la CNIL en 2021 !
Allez lire le détail de la délibération n°SAN 2021-008 du 14 juin 2021.
C’est une aubaine pour cette rubrique actualité RGPD juin 2021 car on trouve tout dans cette condamnation : non-respect des obligations juridiques du RGPD, non-respect de l’obligation de sécurité de l’article 32 RGPD, non-respect de la règlementation « cookies/traceurs »…
Pour clôturer cette actualité RGPD de juin 2021, je vous livre juste le « Par ces motifs » de la délibération de la CNIL :
- « … une amende administrative d’un montant de 500 000 euros, qui se décompose comme suit :
- 300 000 euros pour les manquements aux articles 5-1-e), 13, 17 et 32 du RGPD ;
- 200 000 euros pour les manquements à l’article 82 de la loi no 78-17 du 6 janvier 1978 … et à l’article L. 34-5 du CPCE ;
- une injonction de mettre en conformité les traitements avec les obligations résultant des articles et 5-1-e) du RGPD et L. 34-5 du CPCE, et en particulier :
- s’agissant du manquement au principe de limitation de la durée de conservation des données [personnelles], mettre en œuvre une politique de durée de conservation des données [personnelles] qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, et notamment :
- cesser de conserver les données [personnelles] des anciens clients du site web de la société à l’issue de la période d’inactivité fixée, procéder à la purge de telles données conservées par la société jusqu’à la date de la délibération de la formation restreinte et justifier de la suppression de ces données [personnelles] au-delà d’une période d’inactivité définie, dont il appartiendra à la société de justifier ;
- justifier d’une procédure d’archivage intermédiaire des données [personnelles] des clients, mise en place après avoir opéré un tri des données pertinentes à archiver et une suppression des données non pertinentes, ainsi que du point de départ de cet archivage (par exemple, s’agissant des factures archivées à des fins comptables) ;
- s’agissant du manquement à l’obligation de recueillir le consentement… par une opération de prospection directe au moyen d’un système automatisé de communications électroniques : cesser de prospecter les personnes non clientes n’ayant pas exprimé leur consentement, sauf à obtenir leur consentement ;
- assortir l’injonction d’une astreinte de 500 (cinq cents) euros par jour de retard… ;
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication »