Une des conséquences de la mise en conformité RGPD, le « casse-tête » de la purge des données personnelles.
La plupart des entreprises qui se confrontent à cette problématique ne savent pas forcément par quelle étape commencer.
Humblement, nous recommandons de débuter par un scenario manuel. Quelles sont les applications concernées (internes et partenaires) ? Quelle est l’application Maitre… ? Celle qui définira la clé d’identification commune à toutes les applications.
Puis, il s’agit de réunir les acteurs de chaque application et définir les objectifs, le mode opératoire, le planning, les résultats attendus, une gestion de projet précise et documentée.
Chaque application devra ensuite effectuer sa purge et rendre compte en apportant des preuves. Chaque contexte IT d’entreprise va nécessiter un ordonnancement particulier. L’objectif est d’éviter des situations d’incohérence entre applications lorsque celles-ci sont modifiées tout en continuant à fonctionner en temps réel. La phase récurrente devra traiter ce point fondamental.
De plus, la purge des données personnelles impacte des données dérivées qu’ils ne faut pas oublier sur le chemin (transactions, log, critères permettant de faire le lien avec des personnes identifiables en base de données…).
La purge récurrente implique aussi un travail précis qui nécessite plusieurs points de contrôle et qui passe par l’écriture de spécifications détaillées.
Enfin, une attention toute particulière doit être apportée au process d’ordonnancement et de supervision en s’appuyant sur les bons outils.
Au-delà d’être obligatoire dans le contexte réglementaire du RGPD, ce process de purge génère une charge de travail manuelle et répétitive qui peut être source d’erreur et sans valeur ajoutée d’où la nécessité de mettre en place un process automatisé (ordonnancé et surveillé).
La Commission nationale de l’informatique et des libertés (CNIL) a prononcé 21 sanctions en 2022, pour un montant total de 101 277 900 €. Ces sanctions comprennent 19 amendes (dont 7 assorties d’injonctions) et 2 décisions de liquidation de la peine. La CNIL a également adopté 147 mises en demeure, ordonnant aux organismes de s’y conformer dans un délai imparti.
Au niveau européen, depuis l’entrée en vigueur du RGPD, les amendes infligées par les autorités de protection des données ont dépassé les 2,5 milliards d’euros. En 2021, le Luxembourg, en étroite collaboration avec la CNIL, a infligé une amende de 746 millions d’euros à Amazon. La CNIL a elle-même imposé des sanctions pour un montant cumulé de plus de 500 millions d’euros pour des infractions à la fois au RGPD et à la directive ePrivacy (cookies). Ces organisations sont de toutes tailles et appartiennent à des secteurs variés.
Vous trouverez ci-dessous les informations concernant les sanctions à l’encontre des géants du numériques, plus généralement nommés GAFAM (acronyme de Goole, Apple, Facebook, Amazon et Microsoft).
Source : CNIL
La CNIL a déterminé que le RGPD n’est pas applicable à Lusha, une société de scraping israélo-américaine. Cette conclusion a été tirée à la suite d’une enquête sur les activités de la start-up. En décidant que le RGPD n’était pas applicable à cette société de scraping israélo-américaine, la CNIL a ouvert la porte à d’autres sociétés similaires pour opérer sans être soumises à la réglementation. Il est important de noter que cette décision ne diminue en rien l’importance de la conformité au RGPD pour toutes les autres entreprises, car elle reste un élément essentiel de la protection des données et de la vie privée.
Cette décision de la CNIL de déclarer le RGPD non applicable à Lusha est inédite et laisse la voie libre au commerce de données des Européens à leur insu par des acteurs situés hors de l’UE et n’y fournissant aucun service.
La CNIL a opéré une distinction très rigoureuse et méthodique de ce qui relève ou non du profilage, en totale contradiction avec au moins cinq décisions qu’elle a prises par le passé. En déclarant que le RGPD n’est pas applicable dans ce cas, la CNIL nous montre qu’il y a un trou béant, un espace qui échappe au RGPD. Il suffit qu’une entreprise soit établie en dehors de l’UE, non pas pour fournir des services à qui que ce soit mais pour traiter des données personnelles d’Européens pour échapper au RGPD, créant une énorme distorsion de concurrence.
Source: JDN