Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Invalidation du Privacy Shield, Brexit et Cookies : Témoignage du DPO d’Enedis

mai 2021 par Christophe Fessart, DPO chez Enedis

L’invalidation par la Cour de Justice de l’Union Européenne du Privacy Shield en juillet 2020, associée aux conséquences du Brexit sur la RGPD, bouleverse les entreprises françaises et leurs clients. Comment réagissent les acteurs tel qu’Enedis, quel est le rôle du Data Protection Officer (DPO) dans ce nouveau cadre réglementaire strict ?
Éléments de réponses avec Christophe Fessart, DPO chez Enedis.

Impact des dernières réglementations européennes – et notamment de l’invalidation du privacy shield - sur la protection des données personnelles chez Enedis

Au niveau d’Enedis, la politique est de ne pas transférer de données hors de l’Union Européenne et de veiller à ce que les éventuelles exceptions soient instruites et encadrées en conformité avec la législation. Ainsi, dès l’invalidation du Privacy Shield par la CJUE à l’été 2020, les différents responsables de traitements délégués (nationaux, régionaux ou responsables de système) ont été informés sur les risques de transfert des données hors de l’Union Européenne. Enedis s’inscrit dans une démarche d’approche par les risques, en informant et sensibilisant les Responsables de Traitements sur les risques et enjeux et sur les obligations de conformité à respecter en cas de transfert hors UE, notamment avec la signature des clauses contractuelles types de l’UE, et information des personnes lorsque leurs données sont traitées hors de l’UE.

Informer et anticiper

Parallèlement à l’invalidation du Privacy Shield, depuis deux ans, une veille est effectuée afin d’informer et de conseille sur la conformité dans le cadre du Brexit, si le Royaume Uni est considéré comme un « pays tiers ». L’attention des interlocuteurs est attirée sur le fait que les données ne pourront plus être transférées au Royaume Uni à défaut « d’accord d’adéquation ». Il existe peu de traitements opérés au Royaume Uni. Comme toutes les entreprises l’existence d’une décision d’adéquation entre l’Union Européenne et le Royaume Uni au 1er juillet 2021 sera facilitante.

Enedis a recours à la sous-traitance. Les consultations de sous-traitants devront désormais intégrer cet aspect : dans le cas où un sous-traitant aurait recours au traitement des données au Royaume Uni, à lui de trouver une solution pour rapatrier les données en Union Européenne, afin d’éviter un transfert hors UE. En cas d’exception, la décision appartient au Responsable de Traitement délégué avec une analyse de risques et d’enjeux et la mise en conformité du traitement.

Le passeport projet DCP, garant du respect de la conformité

Chaque fois qu’un nouveau traitement de données personnelles est instruit, la loi stipule qu’il doit être inscrit dans le registre des traitements. Pour répondre à cette obligation, Enedis a mis en place un processus d’instruction en « conformité programmée » (privacy by design) à travers un outil appelé le « Passeport Projet DCP » (comme Données à Caractère Personnel). Tout nouveau traitement de données personnelles doit disposer de ce Passeport Projet DCP, signé par le responsable de traitement délégué après quitus donné par le DPO, avant d’être enregistré dans le registre. Le point relatif au transfert de données hors UE est systématiquement analysé. Si, par exception, il est opéré un transfert de données hors UE, on s’assure que les modalités de conformité sont bien respectées.

Pour les marchés en cours, avec le Brexit, en l’absence de reconnaissance de l‘adéquation entre le Royaume Uni et l’UE il y a deux options possibles : soit le prestataire trouve une solution pour rapatrier les données sur l’Union Européenne, sinon obligation de mise en conformité via les clauses contractuelles « types » et l’information des personnes concernées par les transferts

La révision des clauses contractuelles « types » fait actuellement l’objet de travaux au niveau de l’Union Européenne. Enedis est dans l’attente du contenu de ces nouvelles clauses contractuelles « types ». L’invalidation du Privacy Shield et le Brexit sont l’occasion de communiquer et de sensibiliser, de nouveau, sur les enjeux des transferts de données à des pays hors UE et les enjeux et risques pour les personnes concernées et pour l’entreprise.

Cookies Wall : un enjeu limité pour un distributeur d’électricité comme Enedis, qui n’a pas d’activité de prospection commerciale

La position d’Enedis est un peu spécifique puisqu’en tant que gestionnaire de missions de service public, la société est investie de missions légales et n’a pas d’activité de développement commercial. Enedis ne refuse pas l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs présents sur le site. Pour la mise en conformité des sites sur la réglementation relative aux Cookies, en juillet dernier, une note interne a été rédigée et communiquée aux services qui gèrent les sites afin de relayer les recommandations de la CNIL sur la protection des données personnelles relatives aux cookies. Un audit externe des principaux sites a été réalisé cette année et les services concernés diligentent les actions de conformité.

Rester en veille

L’invalidation du Privacy Shield et l’actualité sur le Brexit soulignent le caractère fortement évolutif de la législation sur la protection des données personnelles et la nécessité de rester en veille et d’actualiser les procédures internes. Ces enjeux en croissance sont révélateurs des exigences de notre économie avec des attentes renforcées des personnes dont on traite les données. Par exemple, il y a quelques années, personne ne se serait posé de question sur les cookies. Aujourd’hui, tous les aspects de la protection des données personnelles sont des domaines d’attention de toutes les entreprises.

Mon conseil : « Rester dans une logique de veille sur la législation, poursuivre les actions d’information et de sensibilisation internes, formaliser les modalités pratiques dans un référentiel interne, actualiser régulièrement et alerter chaque fois que nécessaire.




Voir les articles précédents

    

Voir les articles suivants