RGPD 2024 : Tout ce qu’il faut savoir sur les nouveautés RGPD en 2024

Le RGPD, qui est l’abréviation de Règlement Général sur la Protection des Données, ou encore GDPR en anglais, est un sujet très important pour les entreprises, organisations et associations. En effet, il est obligatoire de le respecter et, pour cette nouvelle année, ce sera encore un sujet d’actualité. Voici tout ce qu’il faut savoir sur le RGPD 2024.

 

RGPD 2024 : Rappel sur les principes du RGPD

Le principe de base du RGPD est très simple à comprendre. Concrètement, l’objectif de celui-ci est de protéger les données personnelles des citoyens de l’Union Européenne. Nous savons tous aujourd’hui que nos données sont utilisées et exploitées par un grand nombre de structures. L’objectif du RGPD, et ce sera encore le cas pour le RGPD 2024, est donc de faire en sorte que cette exploitation des données soit respectueuse.

Ainsi, à partir du moment où une structure traite des données personnelles qui concernent les citoyens de l’Union Européenne, celle-ci est soumise au RGPD. Une donnée est considérée comme personnelle à partir du moment où celle-ci se rapporte à une personne physique identifiée ou identifiable. On peut identifier une personne :

• Directement (exemple : nom et prénom)
• Indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, l’adresse IP, mais aussi la voix ou l’image).

Concrètement, que vous soyez une entreprise, organisation, association, ou autre, vous traitez forcément des données personnelles. Quelques exemples pour bien comprendre :

• Vous êtes une entreprise et vous disposez d’un fichier client avec les noms, prénoms et coordonnées de vos clients. Ce sont des données personnelles.
• Vous êtes une association et vous publiez les photos des membres de l’association sur vos réseaux sociaux. Ce sont des données personnelles.
• Etc…

L’objectif du RGPD est de protéger l’ensemble de ces données et vous êtes forcément concerné. On peut donc se demander quelle sera la loi RGPD 2024. Découvrez dans la suite de cet article tout ce qu’il faut savoir pour le RGPD 2024.

Nous vous invitons également à lire notre précédent article sur le RGPD 2023.

 

La CNIL dispose d’un plan stratégique 2022 2024 et le RGPD est important

La CNIL (Commission Nationale de l’Informatique et des Libertés) est garante de l’application et du respect du RGPD pour la France. Pour information, la CNIL est une autorité administrative indépendante (AAI), c’est-à-dire un organisme public qui agit au nom de l’Etat, sans être placé sous l’autorité du gouvernement ou d’un ministre.

En 2022, la CNIL a communiqué sur un plan stratégique d’une durée de 3 ans. Dans ce plan stratégique 2022 / 2024, le RGPD dispose d’une place prépondérante. En effet, la CNIL considère que « la protection des données s’est peu à peu imposée dans la culture quotidienne » et qu’il faut, de ce fait, « prolonger cette dynamique » .

Face à cela, la CNIL continue de se positionner comme une accompagnatrice des structures et le plan stratégique 2022 / 2024 RGPD est composé de 5 axes :

• Renforcer la sécurité juridique des responsables de traitement par des orientations pratiques et claires.
• Développer les outils de certification et de code de conduite.
• Faire de la conformité RGPD la meilleure prévention contre les risques cyber.
• Renforcer et faire évoluer la stratégie d’accompagnement.
• Assumer un rôle de régulateur ayant un impact économique.

Concrètement, l’objectif de la CNIL est d’accompagner et guider les sociétés face au sujet important du RGPD et de la protection des données. N’hésitez pas à vous rendre régulièrement sur le site internet de la CNIL qui est une mine d’or pour se mettre en conformité RGPD et tout savoir sur la loi RGPD 2024.

Malgré tout, la CNIL peut également sanctionner les entreprises non respectueuses du RGPD 2024 (on vous en parle dans le paragraphe suivant) ! Elle indique notamment se focaliser sur les sujets suivants :

• Les caméras augmentées et leurs usages.
• Les collectes de données personnelles dans les applications smartphones.
• Les transferts de données dans l’informatique en nuage (« cloud »).

Soyez donc très vigilants sur ces sujets ! Par exemple, lorsque l’on parle des transferts de données dans le cloud, savez-vous que l’utilisation de WeTransfer n’est pas compatible RGPD ? Cet outil transfère des données sans aucun chiffrement… (les données personnelles présentes dans les documents sont donc accessibles). Chez Axens, nous utilisons Teemsi Transfert, un service français compatible RGPD.

Vous pouvez également consulter le plan stratégique de la CNIL dans le détail directement sur le site internet de la CNIL.

 

Les sanctions prononcées par CNIL en 2023 comme orientation pour le RGPD 2024

La CNIL peut sanctionner pour non respect sur RGPD

Comme indiqué précédemment, la CNIL est en mesure de prononcer des sanctions à l’encontre des entreprises ne respectant pas le RGPD. Ces sanctions peuvent s’avérer très élevées et être de plusieurs millions d’euros.

Bien entendu, le rôle de la CNIL est avant tout d’accompagner les entreprises. Mais lorsqu’une entreprise ne joue pas le jeu de la protection des données personnelles, il est normal qu’elle soit sanctionnée.

Le RGPD existe aujourd’hui depuis 2018. Il est donc normal que la CNIL sanctionne les entreprises qui ne l’intègrent toujours pas dans leurs process. La CNIL continue d’accompagner mais est forcément moins clémente lorsque des infractions graves au RGPD 2024 et à la protection des données personnelles sont effectuées.

À lire notamment : Non respect RGPD, sanction de 500 000 Euros à l’encontre de Brico Privé.

 

Les sanctions RGPD permettent de savoir ce qu’il ne faut surtout pas faire en matière de RGPD 2024

Les sanctions prononcées par la CNIL permettent de se faire une idée de comment respecter la loi RGPD 2024. En effet, c’est en découvrant pourquoi certaines sociétés sont sanctionnées que l’on sait ce qu’il ne faut surtout pas faire.

Découvrez ci-dessous toutes les sanctions prononcées par la CNIL en 2023 :

• Prospection commerciale et droits des personnes, sanction de 600 000 euros à l’encontre du GROUPE CANAL+ : Le 12 octobre 2023, la CNIL a sanctionné la société GROUPE CANAL+ d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
• Collecte excessive de données et manque de coopération, la CNIL sanctionne la société SAF LOGISTICS : Le 18 septembre 2023, la CNIL a sanctionné la société SAF LOGISTICS à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données auprès de ses salariés, porté atteinte à leur vie privée et ne pas avoir suffisamment coopéré avec les services de la CNIL.
• Publicité personnalisée, CRITEO sanctionné d’une amende de 40 millions d’euros : Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.
• Voyance en ligne, la société KG COM sanctionnée par une amende de 150 000 euros : La CNIL a prononcé une sanction de 150 000 euros à l’encontre de la société KG COM pour non-respect du RGPD et de la loi Informatique et Libertés. Cette société collectait notamment des données de manière excessive, ainsi que des données sensibles sans consentement préalable et explicite, et n’assurait pas suffisamment la sécurité des données.
• Reconnaissance faciale, la CNIL liquide l’astreinte prononcée à l’encontre de CLEARVIEW AI : Le 13 avril 2023, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de CLEARVIEW AI. La société devra payer la somme de 5 200 000 euros pour ne pas s’être conformée à l’injonction formulée dans la décision de sanction d’octobre 2022.
• Géolocalisation de scooters de location, sanction de 125 000 euros à l’encontre de CITYSCOOT : Le 16 mars 2023, la CNIL a prononcé une sanction de 125 000 euros à l’encontre de la société CITYSCOOT pour avoir notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente.
• Cookies, la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros : Le 29 décembre 2022, la CNIL a sanctionné le réseau social TIKTOK pour un montant total de 5 millions d’euros pour deux raisons : les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies.
• Identifiant publicitaire, sanction de 8 millions d’euros à l’encontre de APPLE DISTRIBUTION INTERNATIONAL : Le 29 décembre 2022, la formation restreinte de la CNIL a sanctionné la société APPLE DISTRIBUTION INTERNATIONAL à hauteur de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone (version iOS 14.6) avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux.

Le détail de toutes les sanctions est à retrouver sur le site internet de la CNIL rubrique sanctions.

Toutes ces sanctions permettent de disposer de cas précis de sociétés qui ne respectent pas le RGPD. Ce sont des cas de figure très différents mais qui ont un point en commun, le nom respect des données personnelles. D’ailleurs, dans la majorité des cas, on remarque que ce sont des données personnelles collectées de manière illégale par le biais de la technologie.

N’hésitez donc pas à prendre connaissance de toutes ces sanctions pour améliorer vos process de traitement des données qui sont similaires.

À découvrir également : Les arnaques RGPD, il faut se protéger.

 

RGPD 2024 : Votre site internet doit être en conformité avec le Règlement Général sur la Protection des Données

Votre site internet est un point d’entrée très important. Il est donc impératif que celui-ci soit en conformité RGPD 2024. En effet, via votre site internet vous allez recevoir des demandes de contact, analyser votre trafic, éditer des statistiques, etc… Tout ces éléments sont des données personnelles qui sont exploitées. Il faut donc être en conformité.

Pour mettre votre site internet en conformité avec le RGPD, et ainsi respecter la loi RGPD 2024, nous vous invitons à lire notre dossier dédié sur le sujet et notamment le respect du dépôt des cookies. RGPD cookies, voici comment se mettre en conformité.

Pour résumer, il est important que votre site internet ne dépose pas automatiquement de cookies permettant de récolter les données personnelles et de tracer la navigation web des internautes. Il faut que l’internaute valide ce dépôt. De plus, votre site internet se doit d’être sécurisé afin qu’il ne puisse y avoir une fuite de données.

À noter également, une nouveauté très importante pour les sites internet en matière de RGPD. En 2022, la CNIL avait communiqué sur le fait que l’utilisation de Google Analytics n’était pas respectueuse du RGPD. Aujourd’hui, ce n’est plus le cas. Vous pouvez utiliser Google Analytics sur votre site internet à condition de bien respecter, comme indiqué précédemment, la validation du dépôt de cookies Google Analytics. Nous vous invitons là-aussi à lire notre dossier sur le sujet, Google Analytics RGPD.

 

La CNIL fait un focus sur la géolocalisation et la vidéosurveillance des salariés pour la loi RGPD 2024

Le 7 novembre 2023, la CNIL a indiqué sur son site internet qu’elle a prononcé dix nouvelles sanctions dans le cadre de sa procédure simplifiée.

Concrètement, la CNIL a sanctionné des organismes et cela nous en apprend un peu plus sur l’orientation du RGPD 2024. Voici ce qui est indiqué sur cet article de la CNIL :

Elle a ainsi sanctionné, pour un montant total de 97 000 euros d’amendes, des acteurs privés et publics pour des manquements :

• à l’obligation de répondre aux demandes de la CNIL ;
• à la minimisation des données (géolocalisation et vidéosurveillance continue et permanente des salariés) ;
• à l’information sur le traitement mis en œuvre et ses finalités ;
• à l’obligation de respecter les droits des personnes, et notamment de répondre à une demande d’opposition.

Dans la suite de cette information, la CNIL indique noir sur blanc : Dans ces dix décisions, deux sujets ressortent particulièrement, la géolocalisation des véhicules de salariés et la vidéosurveillance des salariés.

Il est donc primordial, si ce sont des sujets qui concernent votre entreprise, de les traiter dans le respect de la loi RGPD 2024. La CNIL donne d’ailleurs des indications claires et précises qui permettent d’en savoir plus sur les sujets de la géolocalisation des véhicules de salariés et la vidéosurveillance des salariés.

Sur le premier sujet, la CNIL rappelle notamment que l’enregistrement en continu des données de géolocalisation, sans possibilité pour les salariés d’arrêter ou de suspendre le dispositif sur les temps de pause est, sauf justification particulière, une atteinte excessive à la liberté d’aller et venir et au droit à la vie privée des salariés.

Sur le second elle réaffirme sa doctrine sur le déploiement d’un dispositif de vidéosurveillance qui filme, sans raison particulière, de manière constante les salariés à leur poste de travail. En effet, la prévention des accidents du travail et la constitution d’une preuve ne justifie pas la mise en œuvre de la vidéosurveillance en continu des postes de travail. Dans ces conditions, les données à caractère personnel issues du système de vidéosurveillance n’apparaissent ni adéquates ni pertinentes. La surveillance permanente des salariés est, sauf exception, disproportionnée au regard des finalités poursuivies.

N’hésitez pas à aller consulter l’article de la CNIL pour tout savoir sur le sujet.

 

La cybersécurité un fondement du RGPD mais également du fonctionnement de votre entreprise

La cybersécurité est un fondement du RGPD. En 2024, il faudra impérativement que votre structure pense à la cybersécurité pour se mettre en conformité RGPD 2024. On vous explique pourquoi.

Le climat géopolitique actuel, avec les différentes guerres qui se déroulent dans le monde, entraine une hausse du risque cybersécurité. Ce risque cyber est détaillé précisément via le lien précédent.

Quel lien avec les données personnelles et le RGPD ? Et bien c’est très simple ! Si un pirate informatique s’infiltre dans votre système informatique, il va avoir accès à toutes les données que votre structure traite. Ainsi, celui-ci aura certainement accès à des données personnelles ultra confidentielles. Pire, ces données peuvent fuiter sur internet et être exposées à tous.

Il est donc primordial de protéger votre système informatique. C’est un fondement du RGPD qui permet, in fine, de protéger les données personnelles que vous traitez.

Sans cela, en cas d’attaque informatique, et de violation des données, les conséquences seront terribles pour vous, vos clients, votre image, etc… La cybersécurité est donc un élément central de la protection des données et du RGPD 2024.

Nous vous invitons à lire cet article sur le sujet comment se protéger contre les virus informatiques en 5 astuces.

 

RGPD 2024, en conclusion : Soyez respectueux avec les données que vous traitez

Il y a beaucoup à dire sur le sujet du RGPD 2024. Cet article vous permet d’avoir une idée des lignes directrices qu’il faudra surveiller pour l’année 2024.

Toutefois, il est important de retenir une chose : Il faut être respectueux des données que l’on traite. Ceci est valable pour toutes les données mais surtout les données personnelles. C’est le fondement même du RGPD et donc de la loi RGPD 2024.

La CNIL, par le biais de son site internet notamment, permet d’avoir une idée précise de la marche à suivre pour être en conformité RGPD. Nous espérons également que cet article vous permettra lui aussi d’orienter, de la meilleure manière qui soit, votre stratégie RGPD 2024. Mais retenez bien qu’il s’agit, avant tout, de bon sens et qu’une donnée personnelle doit être protégée et traitée et comme il se doit.

À lire : La mise en place du RGPD en entreprise.