5 ans du RGPD : où en sommes-nous ?
Il y a 5 ans maintenant, le RGPD est entré en vigueur, bouleversant le monde des données personnelles et imposant aux organismes une conformité souvent contraignante mais sans aucun doute incontournable.
Depuis 5 ans, les mesures et bonnes pratiques ne cessent d’évoluer, en sorte que la conformité d’hier n’est plus tout à fait celle d’aujourd’hui.
Et si cet anniversaire était l’occasion de faire le point et de mettre à jour sa conformité RGPD ?
L’on en sait, en effet, plus sur… les durées de conservation !
Le RGPD a incontestablement marqué la fin d’une conservation illimitée des données souvent privilégiée par les organismes.
Parmi les principes fondamentaux du RGPD figure, en effet, celui de la limitation de la durée de conservation.
Ce principe impose à tout organisme de mettre en place différentes mesures pour gérer le cycle de vie des données traitées et les durées de conservation associées.
En mai 2018, cette notion de limitation restait théorique et relativement obscure.
Afin d’apporter un éclairage sur les durées à adopter, la CNIL a publié :
- un guide pratique des durées de conservation : Guide sur les durées de conservation ;
- et pour le domaine spécifique de la santé, trois référentiels :
Ces éléments nous en disent un peu plus sur les bonnes pratiques recommandées qui tiennent bien évidemment compte des spécificités de chaque activité.
La gestion des cookies… a changé !
En janvier dernier, le Comité Européen de la Protection des Données (CEPD) a adopté un rapport dédié aux bannières cookies.
Incontournable dans la mise en conformité RGPD, l’information relative aux cookies semble pourtant avoir été malmenée.
Face à de nombreuses plaintes, les autorités de contrôle européennes, dont la CNIL, ont ainsi souhaité mettre au cœur de leurs échanges ce sujet fortement impactant sur la vie privée des utilisateurs.
Les indispensables pour une bannière cookie conforme sont désormais de :
- permettre à l’utilisateur de refuser le dépôt d’un cookie (via un bouton dédié) au même stade que l’acceptation, lorsque ce dépôt nécessite un consentement ;
- en finir avec les cases pré-cochées ;
- veiller au design des bannières afin d’éviter toute confusion pour l’utilisateur.
Nul doute que les autorités de contrôle seront plus attentives à ces éléments dans le cadre de leurs prochains contrôles et il convient de l’anticiper !
Pour en savoir plus : Rapport final de la taskforce
De nouvelles clauses contractuelles types… ont été adoptées !
Conformément aux dispositions du RGPD, chaque transfert de données vers un pays tiers à l’Union Européenne nécessite un encadrement spécifique qui doit être défini en amont du traitement.
Le 4 juin 2021, la Commission Européenne a adopté de nouvelles clauses contractuelles types venant encadrer ces transferts, dont le contenu est directement accessible sur le site de la CNIL : Clauses contractuelles types.
Etant précisé que la Cour de justice de l’Union européenne, dans un arrêt du 16 juillet 2020, a indiqué que si les clauses contractuelles types peuvent toujours être utilisées pour transférer des données vers un pays tiers, il incombe néanmoins à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les clauses.
Si ce niveau ne peut pas être respecté, les organismes doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.
Attention donc aux flux de données hors Union Européenne dont il convient de s’interroger sur les mesures à prendre pour en assurer la sécurité.
Les lignes directrices du CEPD… nous ont éclairé !
Ayant pour principale mission de veiller à l’application du RGPD dans tous les pays membres de l’Union Européenne et notamment d’adopter des documents d’orientations générales afin de clarifier les dispositions des actes législatifs européens en matière de protection des données, le CEPD a publié plusieurs lignes directrices qui constituent, à l’instar des guides et référentiels publiés par la CNIL, de véritables éclairages sur l’application pratique du RGPD.
Pour accéder à ces lignes directrices : Lignes directrices du CEPD
A noter que le CEPD peut également adopter des avis pour garantir l’application cohérente du RGPD et des décisions contraignantes pour trancher les différends entre autorités de contrôle qui lui seraient soumis.
L’intégralité de ces avis et décisions sont accessibles sur le site du CEPD : https://edps.europa.eu/_fr.
Audit, mise à jour ou conformité totale, notre équipe en Droit du Numérique – Données personnelles se tient à votre disposition pour vous accompagner dans vos démarches RGPD, sachant que pour les retardataires, il n’est jamais trop tard pour se mettre en conformité !