Accéder au contenu principal

Le mois de la protection des données

Un mois pour parler de la protection des données

A l’occasion de la journée européenne de la protection des données du 28 janvier 2024, découvrez toutes les semaines, du 29 janvier jusqu'au 19 février, un nouvel article dans lequel nos experts partagent leurs connaissances et expertises.

Dans le cadre de ce mois dédié à la protection des données personnelles, nous avons décidé de mettre l’accent sur les enjeux quotidiens de nos clients. D’une part, les entreprises sont confrontées à un risque de sanction de la CNIL de plus en plus important depuis 2018 et une nécessité de mieux prendre en compte les risques liés à leurs sous-traitants. C’est pourquoi nous avons souhaité faire un focus particulier sur les motifs de sanctions les plus récurrents en 2023 et sur la gestion des risques liés aux sous-traitants.

D’autre part, l'environnement réglementaire étant en constante évolution, les entreprises doivent continuellement harmoniser le respect du Règlement Général sur la Protection des Données Personnelles (RGPD) avec d'autres cadres réglementaires en vigueur ou à venir auxquels elles sont/seront assujetties. Nous pouvons par exemple citer la conformité à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) ou d'autres réglementations à venir telles que le règlement sur l'intelligence artificielle (RIA, Artificial Intelligence Act). Enfin, notre dernier point d'attention se concentrera sur le secteur de l’assurance qui présente des caractéristiques particulières en ce qui concerne le RGPD.

En 2023, la CNIL a prononcé 42 sanctions, un chiffre record s’expliquant par l’introduction de la procédure de sanction simplifiée. Malgré une légère baisse du montant des amendes par rapport à l’année précédente, la France maintient le 4e rang mondial en montant d'amendes depuis l'entrée en vigueur du RGPD. Quels sont les motifs de sanctions les plus récurrents prononcés en 2023 ?

L'intensification de la digitalisation et la tendance à externaliser davantage les activités ont profondément influencé le domaine de l'assurance, engendrant une collecte et un traitement étendus de données personnelles. Bien que les assureurs aient assimilé les principes du RGPD, la mise en œuvre opérationnelle peut considérablement varier , notamment dans la gestion des contrats impliquant des données sensibles à des fins diverses. Tour d’horizon sur les enjeux.

Le RGPD distingue le 'responsable de traitement' du 'sous-traitant', chacun ayant des obligations différentes. Outre la nécessité de contractualisation entre le responsable de traitement et le sous-traitant pour encadrer les traitements de données personnelles, des dispositifs de maîtrise de risques adaptés doivent être mis en œuvre par le responsable de traitement afin de garantir la conformité du sous-traitant au RGPD tels que l’audit de sous-traitants.

Le RGPD et la réglementation LCB-FT peuvent être parfois contradictoires, le premier régissant le traitement des données personnelles, tandis que le second requiert la collecte d'informations pour lutter contre le blanchiment de capitaux et le financement du terrorisme. Malgré leurs exigences parfois divergentes, ces réglementations doivent coexister, ce qui crée parfois des défis de conformité pour les organismes concernés.

Avez-vous trouvé cela utile ?

Merci pour votre retour