Archives pour la catégorie Blog

Quelles nouveautés dans la loi française avec l’entrée en vigueur du RGPD ?

Bien informé, vous savez sans doute que deux textes européens vont entrer en vigueur prochainement : le « paquet données personnelles ». Il s’agit plus précisément :

  • du RGPD: le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques dans le cadre du traitement des données personnelles entrera en vigueur le 25 mai 2018
  • De la Directive UE 2016/680 (le volet pénal) : cette directive est relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites ou d’exécution de sanctions pénales. Elle entrera en vigueur le 6 mai 2018.

L’objectif de l’Union européenne est d’apporter un cadre commun avec des règles claires et uniformisées afin d’offrir aux citoyens européens un haut niveau de protection des données personnelles.

Comment notre législation va t’elle « digérer » ce paquet données personnelles ? Nous en savons désormais davantage.

En effet, à l’heure où les entreprises se mettent en conformité avec les nouvelles exigences apportées par le RGPD (cartographie des traitements, rédaction d’un registre des traitements, mise en conformité des contrats, des sites internet, etc), le Sénat vient d’adopter en première lecture le projet de loi sur la protection des données personnelles qui modifie la loi n°78-17.

Les points importants à retenir de ce projet de loi :

  • Une nouvelle « majorité numérique » mise en place :

Les mineurs de moins de 16 ans devront recueillir l’autorisation de leurs parents pour transmettre leurs données personnelles.

L’entreprise qui recueille les données de mineurs devra mettre en place des dispositifs permettant d’informer les mineurs sur la nécessité de recueillir cet accord, et prendre des mesures adaptées pour s’assurer du recueil de données de mineurs de 16 ans révolus.

  • Le profilage en matière de santé est prohibé :

Les données de santé vont bénéficier d’un régime spécial de protection. Le RGPD apporte une définition à ces données très spécifiques : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Les données personnelles de santé ne pourront pas être utilisées pour fixer les prix des assurances. 

  • Le chiffrement des données devient le B-A-BA en matière de sécurité :

L’obligation de sécurité prévue dans le RGPD se traduit en obligation de chiffrer de bout en bout chaque fois que cela est possible.

Le chiffrement de bout en bout permet aux seules personnes autorisées d’accéder aux données concernées (par exemple l’expéditeur et le/les destinataire/s d’un message), seuls ces derniers ont la clef et cela limite considérablement les risques d’intrusion et d’interception.

  • L’instauration d’une certification CNIL pour les objets connectés

Les objets connectés envahissent notre quotidien, du bracelet mesurant le rythme cardiaque à l’enceinte de musique connectée, en passant par les jouets connectés. Ces objets brassent une quantité importante de données et ne sont pas sans poser des questions de sécurité.

Un amendement visant à faire certifier leur niveau de sécurité par la CNIL a été adopté, ce qui n’est pas sans poser la question de l’accompagnement juridique qui sera nécessaire pour les entreprises qui commercialisent ces produits.

  • Le renforcement des pouvoirs de la CNIL

La CNIL aura un pouvoir de contrôle sur place et sur pièces, en plus des pouvoirs de mise en demeure et d’injonction qu’elle détient à ce jour.

En cas de manquement, la CNIL a déjà vu son pouvoir de sanction considérablement renforcé du fait que le RGPD prévoit des amendes jusqu’à 10 Millions d’Euros ou 2 % du chiffre d’affaires total annuel mondial de l’exercice social précédent (ces sanctions étant doublées en cas de violation portant sur des données personnelles sensibles).

L’évolution du texte définitif de ce projet de loi est donc à surveiller jusqu’à son adoption définitive : restez informés !

Valérie Chazaud, avocate

Noé Marmonier, élève-avocat

La « compliance », kézaco ?

Depuis quelques années, il est très opportun de parler de « compliance » au sein des grandes entreprises.
Mais quelle réalité ce terme recouvre-t-il ?
Quelles sont les étapes de sa mise en œuvre ?
Et est-ce approprié pour des PME ou des ETI ?

En réalité, la « compliance », ou conformité réglementaire, recouvre les domaines stratégiques dans lesquels l’entreprise a décidé de mettre en place un outil qui assure, au sein de ses directions, une appropriation des règles juridiques et réglementaires applicables (droit de la concurrence, réglementation sectorielle particulière, informatiques et libertés, anti-corruption, etc.) et leur respect, le tout sans entraver l’activité économique quotidienne de l’entreprise.

Par conséquent, lors de la définition du programme, il faut constamment garder à l’esprit que les procédures de contrôle qui en découleront doivent avoir pour objectif final d’améliorer les process de l’entreprise, d’améliorer sa rentabilité et la sécurité de ses activités.

L’objectif recherché n’est donc pas la conformité à tout prix à toutes les règlementations qui pourraient être applicables, mais bien l’appropriation de ces règlementations, leur compréhension, l’adaptation des process ou attitudes de manière à gérer le risque dans le respect des objectifs premiers de l’entreprise : en d’autres termes, une question d’équilibre.

Evidemment, le succès de la mise en place d’un programme de compliance passe par l’appropriation par l’ensemble des directions de l’entreprise, qui doivent saisir cette occasion pour évoquer les process non conformes ou à risque ancrés depuis des décennies et les faire évoluer.

Les étapes à la mise en place et au succès d’un programme de « compliance » sont nombreuses et supposent une réelle impulsion de la direction générale.

Il convient en effet de réaliser au préalable une cartographie des risques (juridiques, managériaux, financiers, industriels, etc.) qui permettra ensuite la rédaction d’un code de bonne conduite (ou charte) qui rassemblera les grands principes auxquels l’entreprise s’astreint.
Naturellement, pour que cela se traduise effectivement au sein de l’entreprise, un programme de « compliance » en tant que tel sera mis en place, à savoir une série d’actions de sensibilisation destinés aux employés, leur permettant de comprendre les enjeux et les conséquences de la mise en place du code de bonne conduite.
Enfin, pour assurer le respect du code de bonne conduite, des process de contrôle et / ou d’audit réguliers sont à organiser.

Les PME et ETI ont tout autant en gagner à la mise en place d’un tel programme.
D’une part, leurs process internes sont souvent inexistants ou très légers, et cela peut être l’occasion de professionnaliser et responsabiliser davantage les équipes.
En outre, en tant que partenaires, sous-traitants, prestataires ou fournisseurs de grands groupes, il est désormais attendu de leur part un niveau d’exigence équivalent à celui des grands groupes.
C’est enfin une question d’image pour ces PME et ETI qui peuvent utiliser la mise en place de ces programmes comme un outil de marketing puissant.

En conclusion, il peut être opportun de s’intéresser à cette question dés que l’entreprise commence à connaître un développement économique conséquent !

Valérie Chazaud
Avocat

Il était temps …

Hé oui, le voici, le voilà : c’est le jour J de la sortie officielle du site internet de TROIS (point) QUATORZE que vous retrouvez là :

www.troispointquatorze.fr

Le blog continue bien évidemment, avec les actualités fraîches du cabinet, des articles, quelques contributions extérieures prochainement … stay tuned !

Valérie Chazaud

Le mois d’octobre, propice aux évènements !

Après une journée passée en jury LYON STARTUP (round 1 de pitch … on retenait 50 projets sur 100 pitchs) qui nous a valu quelques belles découvertes, mais aussi quelques déceptions, on se prépare activement pour le bootcamp du Big Booster de la semaine prochaine, où vous pourrez nous retrouver comme experts, les 28 et 29 octobre en matinée!

Prenez rendez-vous si vous êtes retenus dans le cadre du Big Booster, afin qu’on puisse (enfin) faire connaissance et vous apporter des réponses constructives sur vos projets !

A très vite (stay tuned).
V.

La ressemblance économique d’un site : condamnation

Petit clin d’oeil à quelques clients :

Oui, il y a bien un certain intérêt, lorsqu’on crée son site internet (ou sa plateforme, ou bien son application iOS ou Android), à se démarquer de la concurrence, y compris en prenant la peine de rédiger (ou faire rédiger par votre serviteur) des conditions générales de services idoines…

Une condamnation récente nous le rappelle :

http://www.legalis.net/spip.php?page=breves-article&id_article=4757

Il a été ainsi été reproché à la société condamnée d’avoir reproduit servilement les conditions générales de son concurrence.

A retenir également : « l’existence (…) de sites ressemblant (…) ou la banalité supposée de son concept ne sont pas de nature à démontrer l’absence de parasitisme ».

Dont acte.
V.