Professionnels de santé, vous êtes aussi concernés par le RGPD !

La CNIL a récemment sanctionné, le 7 décembre 2020, deux médecins à hauteur, respectivement, de 3000 et 6000 euros chacun. S’agissant de données de santé, soit une catégorie de données personnelles particulièrement sensibles, des erreurs de paramétrage et de configuration ont conduit à une violation des données, par ailleurs non notifiées à la CNIL en violation de l’article 33 du RGPD.

La publication de ces deux décisions de sanction est destinée à rappeler à l’ordre les professionnels de santé, souvent trop peu au fait de la règlementation en matière de données personnelles, malgré la particulière sensibilité des données qu’ils traitent.

Pour rappel, la CNIL et l’ordre des médecins ont publié un guide pratique à l’attention des médecins, naturellement utile à tout professionnel de santé.

Le Cabinet est en mesure de vous proposer un accompagnement sur mesure pour accélérer et déployer vos outils juridiques de conformité RGPD.

Crise sanitaire et Cookies : où est passé la CNIL?

Nous annoncions il y a déjà quelques mois la publication de la version définitive de la recommandation pratique sur la mise en œuvre des règles relatives aux cookies, rédigée par la CNIL et soumise à consultation publique.

La crise sanitaire est toutefois venue perturber le calendrier initial : la CNIL concentre désormais ses moyens sur la gestion des dossiers en lien avec celle-ci, et la version définitive de la recommandation se fait attendre. Toutefois, en cette période suspendue, les règles issues du RGPD, applicable depuis le 25 mai 2018 et publié deux ans auparavant, demeurent en vigueur.

Dès lors, il est conseillé d’anticiper les nouvelles préconisations, vraisemblablement peu différentes du projet de recommandation, pour entamer les développements nécessaires sur ses sites internets et prendre contact dès à présent avec son avocat pour la mise à jour des politiques des cookies.

E-commerce : n’oubliez pas la conformité numérique!

En cette période particulière et au vu du contexte sanitaire, il est utile de penser à la conversion d’une partie de son activité à la vente en ligne.

A cet égard, le e-commerce comporte son propre corpus de règles, qui le distingue notamment de la vente en magasin. Bien sûr, ce n’est pas pour la beauté de vos CGV que vos clients souscriront à vos produits et services en ligne. Toutefois, il ne faut pas négliger leur importance.

Outre l’aspect répressif de certaines sanctions qui peuvent trouver à s’appliquer en cas de défaillance dans la rédaction de vos documents légaux en ligne, c’est la confiance de vos clients et prospects qui est en jeu. Des documents légaux clairs et de qualité vont rassurer les internautes sur votre capacité à honorer votre contrat. C’est d’ailleurs les premiers éléments qu’ils vont vérifier afin de s’assurer du sérieux d’un site.

Il faut également assurer une construction du parcours client conforme aux règles en vigueur, sous peine de devoir réaliser de nouveaux développements et donc d’ajouter au coût de votre site. A cet égard, il est recommandé de se rapprocher d’un Cabinet d’avocat avant sa mise en ligne, afin de pouvoir bénéficier de conseils dès sa conception. De plus, le copier-coller de CGU/CGV tierces peut non seulement avoir pour conséquence un contenu inadapté, mais vous fait également courir le risque de poursuites judiciaires, pour contrefaçon et/ou parasitisme.

Le Cabinet maintient son activité en télétravail et propose des forfaits pour mettre en conformité l’ensemble de vos documents légaux en ligne, afin d’assurer votre conformité numérique tout en maitrisant votre budget.

Les PME doivent-elles craindre la CNIL?

Les enjeux de la compliance RGPD peuvent parfois être perçus comme insurmontables pour les start-up ou les PME qui ont d’autres défis à relever.

La tentation de faire l’autruche est donc grande. C’est toutefois un mauvais calcul à long terme : les chantiers laissés en friche peuvent rapidement se révéler mortifères pour les entreprises dont l’activité repose pour une part importante sur le traitement de données, pour leur compte ou celui de clients (ex : développement de solutions logicielles, marketing,…). L’activité ou les produits n’ayant pas été pensés pour être conformes dès l’origine, il sera plus difficile d’intégrer le cadre règlementaire a posteriori et le développement de la société en sera freiné voire compromis.

En effet, si la CNIL, les personnes concernées ou très probablement les clients demandent des preuves de conformité, le retard sera difficile à rattraper si rien n’a été fait en amont.

Or, la question de la gouvernance et de la protection des données devient incontournable.

Certaines PME espèrent que la CNIL tiendra compte de leur situation économique. La CNIL a pourtant balayé l’excuse de la viabilité économique dans sa décision condamnant l’éditeur du site Challenges.fr à une amende de 25.000 euros pour non respect de la réglementation sur les cookies, sanction confirmée par le Conseil d’Etat.

D’autres estiment que la CNIL cible avant tout les GAFAM. C’est faux, au vu de l’historique des sanctions. S’il est vrai que la sanction contre Google LLC de 50 millions d’euros a fait couleur beaucoup d’encre, des sociétés de tailles hétérogènes ont pu faire l’objet de contrôle et de sanctions. La période de tolérance annoncée par la CNIL est désormais révolue, et toutes les entreprises sont concernées par la règlementation quelle que soit leur taille. La CNIL a par ailleurs énormément travaillé à faciliter le travail de mise en conformité en rédigeant de nombreux documents pédagogiques, ce qui réduit d’autant l’argument selon lequel la règlementation serait inaccessible.

Elle procède actuellement à de nombreux recrutement et il y a fort à parier que ses contrôles auront vocation à s’étendre au cours des prochains mois.

Le Cabinet propose des programmes de mise en conformité adaptés au enjeux et aux ressources de chaque entreprise, association ou collectivité et vous guidera pour la mise en place des outils de conformité adéquats.

Conférence de l’AFDIT sur la patrimonialisation de la donnée à Marseille

Le Cabinet a eu le plaisir de se rendre à la conférence de l’AFDIT sur la patrimonialisation de la donnée qui a eu lieu le vendredi 6 décembre à Marseille.

Le statut juridique de la donnée et plus particulièrement de la donnée personnelle est encore une source d’interrogations pour les praticiens.

A cet égard, ont été évoqués dans la matinée les différents statuts juridiques de la donnée envisageables, sous l’angle universitaire, suivi dans l’après-midi des regards de praticiens, qu’ils travaillent au sein de start-up, grandes entreprises, ou encore en cabinet d’expertise comptable, office notarial ou dans le domaine de l’assurance.

La délicate question de la transmission du patrimoine numérique a été exposée sous l’angle pratique, la mort physique entrainant de nombreuses questions sur le sort de ce patrimoine, mal appréhendé du vivant des personnes.

Il a également été fait état de la difficulté d’évaluer la valeur de la donnée, qui est contingente, suivant sont parcours et ses utilisations ultérieures, et en conséquence de la difficulté de proposer des produits d’assurance adaptés.

En effet, si les conséquences financières d’un piratage ou d’une perte de données sont chiffrables pour une entreprise, il n’en va pas de même de la valeur intrinsèque d’une donnée. La question de l’évaluation du préjudice causé aux personnes concernées suite à une violation de données est également source de nombreuses interrogations, les premières jurisprudences sur le sujet commençant à apparaître.

Ces questions demeurent en suspens et nul doute que les très intéressantes propositions et pistes doctrinales évoquées en première partie de journée contribueront à alimenter une réflexion plus que jamais nécessaire. Au législateur ensuite de s’emparer de la question et de poser les jalons d’un véritable statut juridique de la donnée, afin de mieux pouvoir déterminer le ou plutôt les régimes juridiques applicables.

Une synthèse de la journée est disponible en podcast sur le site de Lexradio et les vidéos des interventions sont disponibles sur le site de l’AFDIT Sud-Est.