La CNIL a le pouvoir d'effectuer des contrôles auprès de l'ensemble des organismes qui traitent des données personnelles. Les entreprises privées, les associations ou encore les organismes publics peuvent ainsi faire l'objet d'un contrôle de la CNIL.
Le DPO est chargé des missions suivantes : Informer et de conseiller le responsable de traitement (ou le sous-traitant) et ses employés. Contrôler le respect du règlement européen et du droit français en matière de protection des données.
Qu'est-ce que le RGPD ? Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
Dans l'univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
Qui est chargé de contrôler la bonne application du règlement ? Ce sont les autorités indépendantes de chaque Etat (en France, la CNIL) qui contrôlent l'application de la législation relative à la protection des données.
Créée en 1978 par la loi Informatique et Libertés, la CNIL est une autorité administrative indépendante, composée d'un Collège de 18 membres et d'une équipe d'agents contractuels de l'État.
Toute personne gère ainsi ses propres données de manière autonome et responsable, tandis que les entreprises doivent s'y adapter.
La CNIL peut contrôler les organismes à la suite de plaintes qu'elle reçoit, de signalements qui lui sont faits, ou parce qu'elle décide de se saisir d'un cas particulier.
Pour résumer : La logique de responsabilisation. La coresponsabilité des sous-traitants. Le privacy by design.
Quelle est la différence entre un contrôleur de données et un processeur de données en vertu du RGPD? Un contrôleur est l'entité qui détermine les finalités, conditions et moyens de traitement des données personnelles, alors que le processeur est une entité qui traite les données personnelles au nom du contrôleur.
Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné s'agissant de l'ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas.
La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le libre flux des données à caractère personnel entre les États membres.
Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser. En pratique et en général, il s'agit de la personne morale incarnée par son représentant légal.
La procédure de sanction de la CNIL
Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Exemples de données à caractère personnel:
une adresse e-mail telle que pré[email protected]; un numéro de carte d'identité; des données de localisation (par exemple: la fonction de localisation d'un téléphone portable)*; une adresse de protocole internet (IP);
Pour faire valoir ses droits informatique et libertés, il faut d'abord s'adresser directement aux organismes qui détiennent vos données. En cas de difficultés, de réponse insatisfaisante ou d'absence de réponse, vous pouvez saisir la CNIL.
Le RGPD s'inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l'utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs : renforcer les droits des personnes. responsabiliser les acteurs traitant des données.
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes. La loi Informatique et Libertés permet à toute personne d'accéder aux données qui la concernent.
Aujourd'hui, le consommateur est devenu le point focal de la collecte et l'exploitation des données. Des géants comme Google ou Facebook dominent le marché de la publicité ciblée et engrangent des milliards de dollars, notamment grâce à l'émergence des technologies dites de « Big Data ».
Qui est propriétaire des données personnelles ? A ce jour, personne. Ni l'individu, ni l'entreprise qui les collecte et les traite. Il n'existe en réalité pas de loi, en France comme ailleurs, qui consacre la notion de propriété des données.
Elles sont collectées via leur point de vente, leur site e-commerce, récoltées lors d'events, cookies posés sur leur site… 2nd party data : Les données second party correspondent aux données des partenaires business. Elles se transmettent dans le cadre d'une collaboration de partage de données « gagnant – gagnant ».
C'est encore la CNIL sur la base du RGPD qui prévoit la réglementation en la matière. En effet, le règlement général de la protection des données prévoit que les salariés ont le droit de demander une copie de leur dossier au service concerné.
En pratique, le (co)responsable du traitement peut-être un dirigeant, un directeur, un maire, un président d'association, ... les destinataires peuvent être des collaborateurs, des clients, des fournisseurs, des administrés, des organismes publics, ...
À l'issue de contrôles ou de plaintes ou en cas de manquements au RGPD ou à la loi Informatique et Libertés, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitement et des sous-traitants.
Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD).