Les plaintes auprès de la #CNIL en 2021 #RGPD et son appel d'offre "Externalisation de certaines opérations de traitement de saisines"

 Dans son récent appel d'offre de février la CNIL portant sur "Externalisation de certaines opérations de traitement de saisines. Externalisation du traitement des plaintes simples et des réclamations" fait mention de la répartition des plaintes en 2021. 

L'appel d'offre a été classé sans suite "à la suite d'une irrégularité dans les documents de consultation", il ne fait pas de doute que la consultation va être re-publier.

La mise en demeure de la #CNIL à propos de Google Analytics n'est qu'une suite logique #RGPD #GOOGLE

La mise en demeure de la CNIL sur le sujet de Google Analytics n'est que la suite logique de la montée en charges de la protection des données personnelles en Europe.

L’association NYOB est à l’origine d’une centaine de plaintes déposées auprès de différentes autorités de protection des données (APD) concernant le transfert de données vers les États-Unis lors de l’utilisation de l’outil Google Analytics mis en œuvre par autant de responsables de traitement.

Un groupe de travail s’est organisé pour faire face à la similitude des plaintes déposées dans 27 Etats membres. Son but : répondre de manière harmonisée auxdites plaintes.

Le CEPD et l’autorité de protection autrichienne (APD) s’étaient déjà prononcés sur le sujet [CF l'article de Lexing ].

Voici un petit récapitulatif de la montée en charge des actions pour ne pas perdre de le fil de l'évolution en cours. 

 Et pour ceux qui se pose la question de la raison de ces décisions, nous les invitons à lire en plus les documents sur le Patriot Act et le Cloud Act.

Les sanctions de la #CNIL en 2021: l'article 25 entre dans la danse #RGPD

 La CNIL a posée un certain nombre de sanctions qui se sont traduit par des amendes administratives et par la publication de ces sanctions.

Il est intéressant de regarder quels sont les manquements invoqués par la CNIL pour poser des sanctions financières.

On retrouve bien entendu l'article 32 "Sécurité du traitement"  et les articles de 12 à 21 sur les informations et les droits des personnes. Mais on retrouve désormais fréquemment l'article 25 "Protection des données dès la conception et protection des données par défaut". source : Legifrance.gouv.fr

 

La procédure de sanction simplifiée de la CNIL est désormais opérationnelle #CNIL #RGPD #SANCTION

 On en parlait depuis le mois de février 2021, la CNIL souhaitait disposer de pouvoir disposer d'une procédure simplifié.

Le projet de "loi 4D" (différenciation, décentralisation, déconcentration et diverses mesures de simplification), très attendu par les collectivités territoriales, a pour objet le renforcement de la décentralisation des pouvoirs publics.

Dans l'article 41 du projet de loi, on retrouve "L’instruction de plaintes est désormais au coeur du système issu de cette nouvelle réglementation. En ne permettant que d’adopter environ cinquante mises en demeure et une dizaine de sanctions par an, les procédures de traitement des plaintes apparaissent désormais inadaptées." 

Il convenait de pouvoir étendre les pouvoirs de l'autorité de contrôle et l'article 50 de la proposition à pour objet de "simplifier les procédures  et de moderniser les outils dont dispose la CNIL .. afin de l'adapter à la croissance de l'administration numérique. "De même, il est proposé de simplifier la procédure de mise en demeure, autre outil à disposition du président de la CNIL et alternatif aux sanctions."

Le site du gouvernement français ... oups la #CNIL ?? #RGPD

 Elle est pas rigolote celle là ?

 

Au début je me suis dit "non c'est une erreur" donc vérification .. donc un petit nslookup

 

> www.gouvernement.fr
Serveur :   UnKnown
Address:  192.168.64.254

Réponse ne faisant pas autorité :
Nom :    cs698.wpc.upsiloncdn.net
Address:  192.229.221.103
Aliases:  www.gouvernement.fr
          www.premier-ministre.gouv.fr

 

Ah c'est la même adresse ... bon qui sait un coup de géoloc ... allez on prend le premier qui passe ... 

et bien non c'est bien aux USA ...

Alors il est où le Youki ?? (oui c'est la compression digne de Gotainer .. Il est où "le bandeau des cookies" ?? )  ben yen à pas ... bon d'accord on utilise le produit de "Atinternet " mais bon

mais si on cherche .. 

on trouve .. que par défaut ca va chez Google Facebook Microsoft ... mais ça doit être des entreprises européennes sans doutes et comme tout est activé par défaut ...

et aussi ...

enfin ça part chez Google et consort tout ça ..

Allez une petite remarque de la CNIL ? .. ben non ... :-)

Actualité de la #CNIL (Source #AFCDP de février 2021) #RGPD #GPDR

 État des désignations
À ce jour, 74 731 organismes ont désigné un Délégué.
Cela porte sur 26 000 Délégués, dont 24 900 sont des personnes physiques.
À noter, les 35 000 communes sont très en retard, et n’ont désigné que 16 000 Délégués.

MOOC
La CNIL finalise un nouveau module de son MOOC, consacré aux collectivités. Il devrait être disponible courant mars. À l’occasion d’un changement de prestataire, le MOOC va évoluer dans les prochains mois vers une version 2, qui donnera lieu à un enrichissement des modules existant.

Référentiel de durées de conservation RH
Son adoption par la Commission devrait intervenir avant l’été.On peut donc envisager sa publication avant la rentrée.

Guide du DPO
Le guide du DPO préparé par la CNIL est bien avancé. Il sera présenté à l’ensemble des commissaires. Et devrait être disponible avant la fin de l’année. Il comportera de nombreuses réponses aux diverses questions relatives au DPO.

Consultation sur les mandats
Le dépouillement de la consultation est en cours. La recommandation de la CNIL ne devrait pas être disponible avant avril.
Nous avons insisté sur nos remarques critiques vis-à-vis du projet, qui nous parait trop orienté vers la portabilité, au détriment des problématiques opérationnelles que présentent les mandats dans l’exercice des autres droits.

Certification
La CNIL signale la publication du référentiel de certification des organismes de formation. Ce sont des organismes, et non des personnes, qui seront certifiés par le COFRAC. La certification porte sur des formations à la protection des données et au RGPD au sens large, et non des formations de DPO.

Questions d’actualité

AIPD : consultations au titre de l’article 36
La CNIL a été sollicitée environ 200 fois pour des questions relatives aux AIPD, mais pas dans le cadre de l’article 36 du RGPD. Les demandes portent sur des conseils en amont, ce qui permet sans doute d’éviter les situations prévues par l’article 36. Elles concernent essentiellement la sphère publique.

Hébergement souverain
Suite à une information de PARIS2024, nous avons indiqué que certains membres sont surpris de l’hébergement des données des JO de Paris chez un prestataire chinois. La CNIL n’a pas été consultée à ce sujet, et es informations ont été demandées aux services de la Commission, qui est en relation avec le Comité d’organisation des JO.

Suites de Schrems II
La question a été largement abordée par le Délégué général de la CNIL lors de l’Université AFCDP des DPO le 26 janvier 2021.
Compte tenu de la situation, à ce stade les contrôles portant sur des transferts hors UE ne devraient pas donner lieu à des sanctions systématiques. La CNIL s’attachera toujours à évaluer la posture du RT et des démarches entreprises en vue de la meilleure conformité possible.
 
Attestation de conformité
À propos d’une entreprise qui communique sur l’attestation de conformité qu’elle a obtenue pour sa méthode d’anonymisation, la CNIL nous a confirmé cette procédure qui découle de l’application de l’article 8.I.3 de la Loi Informatique et Libertés.

Relations avec la CNIL

Comment la CNIL gère-t-elle les priorités des questions qui lui sont posées ?
Cette question est évoquée dans la Charte d’accompagnement des responsables de traitement, récemment publiée par la CNIL. La priorité est d’abord donnée aux questions qui présentent une certaine urgence, en particulier quand elles sont soumises par un réseau, ou quand elles correspondent à un sujet d’actualité.
Par ailleurs, la CNIL a entamé une démarche d’amélioration de l’accusé de réception, avec un retour rapide s’il est anticipé que la question posée ne recevra pas de réponse individuelle.

Traitement des plaintes : information du DPO
En cas de plainte, la CNIL sollicite systématiquement le DPO. Des anomalies peuvent se produire lorsque les coordonnées de contact direct du DPO ne sont pas à jour. Les membres de l’AFCDP qui observeraient des cas où la règle n’est pas respectée peuvent le signaler au Délégué général qui transmettra à la CNIL.

Désignations multiples en ligne
En cas de désignation d’un DPO pour plusieurs entités, il convient de le signaler par courriel au service des Délégués. La CNIL communique alors un lien vers une procédure dédiée. Une réflexion est en cours, dans le cadre du schéma directeur SI de la CNIL, pour moderniser les procédures de désignation et de mise à jour. Elles se heurtent à la problématique d’identification fiable des organismes par un compte accessible en ligne.

La CNIL prévoit-elle d’offrir de nouvelles formations ?
Un calendrier de webinaires est en cours de réalisation. Les sujets relatifs à la santé, dans le contexte de crise sanitaire, sont privilégiés. La CNIL envisage également l’option de webinaires consacrés aux sujets d’actualité.

Comment se préparer au DMD, DSA et ePrivacy ?
La CNIL reste attentive à l’évolution de ces dossiers. Elle peut difficilement intervenir sur des textes qui sont encore au stade de la discussion entre les instances européennes. L’AFCDP peut d’ores et déjà lui transmettre les questions qui pourraient émerger au sein de l’association : elles peuvent nourrir ses réflexions, dans le cadre de sa participation au sein des instances européennes (CEPD/EDPB en particulier).