Gestion du risque

Notre cœur de métier est la gestion du risque. Pour agir de manière efficace, il faut identifier les risques encourus et les présenter aux dirigeants. Nous ne sommes cependant pas des marchands de peur : nous vous aidons à faire face au nouveau paysage règlementaire de manière pragmatique, en ciblant les points prioritaires.

En ce qui concerne le Règlement général pour la protection des données (RGPD), les risques principaux varieront selon l’activité et la taille de votre entreprise. Ainsi, certains devront sécuriser leurs transferts de données personnelles à destination de pays tiers, d’autres devront réaliser des analyses d’impact sur leurs activités de profilage… La matière est mouvante et complexe. Le cabinet d’avocat Altij vous permet d’y voir plus clair.  


Protection de la mise en cause de la responsabilité du dirigeant


Sur le plan civil, conformément au droit commun, la responsabilité du dirigeant peut être engagée pour un dommage causé suite à une faute ou une négligence. Le RGPD vient augmenter ce risque : de nouveaux droits sont créés, créant des nouvelles sources de préjudice (le droit à l’oubli par exemple).
Selon la même logique, la création de nouvelles obligations entraîne de nouvelles sources potentielles de fautes. Ainsi, le responsable doit « prendre toutes précautions utiles […] pour préserver la sécurité des données ». La notion de « toutes précautions utiles » se voit renforcée pour comprendre la conformité au RGPD, avec l’obligation de « garantir un niveau de sécurité adapté au risque ». Tout manquement à cette obligation peut constituer une faute pouvant entraîner réparation.
De la même manière, l’utilisation commerciale d’un traitement illicite ou passer outre les recommandations de votre DPO concernant la purge des données peut engager votre responsabilité. C’est la raison pour laquelle la mise en conformité de vos traitements, que vous propose d’assurer le cabinet d’avocat Altij, est une nécessité, en application du principe de « l’accountability ».

Sur le plan pénal, les personnes morales sont responsables pénalement des infractions commises pour leur compte, par leurs organes ou représentants. Elle n’exclut toutefois pas celle des personnes physiques auteurs ou complices des mêmes faits.

 

Prévention des risques contentieux

Les sanctions de la CNIL

La Commission Nationale de l’informatique et des libertés (CNIL) dispose d’un nombre important de pouvoirs :

Des pouvoirs d’enquêtes :

La CNIL peut ordonner que vous lui communiquiez toute information dont elle a besoin pour accomplir ses missions (un fichier, le registre du traitement, les coordonnées de votre DPO…).
Elle peut également mener des enquêtes sur place, sous la forme d’audits, en obtenant l’accès à vos locaux. Ces intrusions représentent souvent des moments difficiles à vivre pour les entreprises, et un soutien, tant technique que juridique est de nature à vous rassurer.

Des pouvoirs coercitifs :

La CNIL dispose d’un certain nombre de pouvoirs contraignants (avertissement, rappel à l’ordre, ordre de satisfaire à ses recommandations, imposer une limitation voire une interdiction des données à caractère personnel) dont le plus redouté est celui d’imposer des amendes administratives pouvant aller, pour les violations les plus sérieuses, jusqu’à 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

On le voit, la CNIL dispose de pouvoirs variés. Elle n’en est pas pour autant moins tenue à des obligations procédurales. Le cabinet d’avocat Altij vous aide à faire valoir vos droits face à elle, que ce soit en amont, pour éviter de prêter le flanc à toute sanction, lors des contrôles sur place, ou en accompagnement pendant la phase de sanction.

Les recours juridictionnels

La personne concernée par le traitement dispose d’un droit à un recours juridictionnel devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement.
Elle peut très bien préférer ce type de recours, devant le TGI par exemple, au recours administratif devant la CNIL.

Le RGPD ouvre le droit pour toute personne ayant subi un préjudice matériel ou moral d’obtenir réparation.
Actuellement en discussion au Parlement, la nouvelle mouture de la loi informatique et libertés élargit le cadre de l’action de groupe pour intégrer ces nouveautés. Est désormais prévu le droit pour la personne de mandater un organisme, une organisation ou une association à but non lucratif (limitativement énumérés : association déclarées depuis au moins 5 ans ayant pour objet statutaire la protection de la vie privée et la protection des données personnelles / Associations de défense des consommateurs lorsque le traitement des données affecte des consommateurs / Organisation syndicales représentatives lorsque le traitement des données affecte des personnes qu’ils sont chargés de défendre) pour qu’il introduise une action et exerce en son nom le droit d’obtenir réparation. Des dommages et intérêts pourront donc être fixés par le juge.


Prévention des failles de sécurité


Le contexte global derrière le RGPD est le danger très présent de cyber-attaques. Selon Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), les entreprises françaises ont subi en moyenne 29 cyberattaques en 2016, notamment des « Ransomware » (logiciel qui bloque les utilisateurs jusqu’à paiement d’une rançon), des attaques par déni de service (utilisation d’un « botnet » pour inonder un système et le rendre indisponible) ou de tentatives d’accès aux bases de données.
Or, il est prévu que le responsable du traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Vous devez également, en cas de violation des données placées sous votre protection, en alerter la CNIL, voire, dans certains cas, les personnes concernées.
Le cabinet d’avocat Altij vous propose des plans d’actions spécifiques, en collaboration avec des partenaires spécialisés dans la cyber sécurité.

Cette obligation n’est en aucun cas à prendre à la légère : Il existe un risque de refus de prise en charge d’un sinistre si l’assuré n’était pas conforme au RGPD, en particulier à l’obligation de garantir un niveau de sécurité adaptée.

Surtout, elle peut impacter la réputation de l’entreprise : La publication d’une violation du RGPD (ex. en cas de sanction par la CNIL, ou d’action en justice), entrainera des conséquences graves pour la réputation de l’entreprise (Voir en ce sens le bad buzz causé à Uber) notamment si son activité de base consiste à la manipulation des données à caractère personnel, voire des données sensibles (ex. site de rencontres, réseaux sociaux, clinique privée, etc.)

Le cabinet d’avocat Altij peut vous accompagner pour que vous démontriez votre bonne conformité au RGPD et ainsi conforter votre image d’entreprise qui met l’Humain et la vie privée au centre de sa politique.

 

 

 

 

Notre offre vous intéresse ?

Remplissez notre formulaire de contact et nous reviendrons vers vous le plus rapidement possible.


En partenariat avec

© QUID.IA 2018 • Site réalisé par Totem NumériqueMentions LégalesPolitique de confidentialité