La première édition des Awards de la transformation digitale s’est tenue le 5 mai dernier au Quanta Smart Building à Marseille. Au cours de cet évènement, trente-cinq sociétés ont candidaté pour remporter les prix de 5 catégories différentes.

Les heureux vainqueurs de cette première édition sont : ​​​​​​​​
✨ Mobile Hub – proposant d’augmenter la durée de vie des terminaux mobiles – dans la catégorie « Développement durable & éthique » ; ​​​​​​​​
✨ BUMAC – spécialisé dans la transformation digitale des grands groupes industriels – dans la catégorie « Qualité de vie au travail & RH » ; ​​​​​​​​
✨ Letsignit – commercialisant une solution de signature de mails et de bannières marketing – dans la catégorie « Business & Relations clients » ; ​​​​​​​​
✨ SKINCASTS – inventeur d’attelles orthopédiques en plastique recyclable imprimées en 3D – pour la catégorie « Innovation & spécialisation » ; ​​​​​​​​
✨ La ville d’Istres pour ses investissements dans la digitalisation, dans la catégorie « Awards coup de cœur » ​​​​​​​​
​​​​​​​​
Le cabinet Garoé Avocats Associés a tenu à récompenser les lauréats en offrant un accompagnement juridique de confiance et de qualité à hauteur de 2500€. 🎁​​​​​​​​
​​​​​​​​
Nous tenons à remercier l’équipe de Médinsoft pour la superbe organisation de cet évènement.​​​​​​​​
​​​​​​​​
Nous vous donnons rendez-vous le 25 mai 2023 pour la seconde édition des Awards de la transformation digitale!​​​​​​​​

Chargé d’assurer la santé et la sécurité des salariés, le protocole sanitaire en entreprise du 1er septembre 2021 vient remplacer le texte du 9 juin. Garoé vous a préparé un résumé des points essentiels contenus dans ce document !

 

La désignation d’un référent covid

Un référent Covid-19 est désigné. Dans les entreprises de petite taille, il peut être le dirigeant. Le référent s’assure de la mise en œuvre des mesures définies et de l’information des salariés. Son identité et sa mission sont communiquées à l’ensemble du personnel.

Fin du nombre minimal de jours de télétravail

Le télétravail, instauré dès le premier confinement, n’est plus obligatoire. Le protocole sanitaire en entreprise du 9 juin demandait aux entreprises de fixer un nombre minimal de jours de télétravail par semaine.

 

Respect des règles sanitaires

Les salariés doivent continuer à respecter les gestes barrières. Il est donc demandé de respecter la distanciation d’un mètre en chaque salarié, d’éviter les croisements, de continuer à se désinfecter les mains, d’aérer les pièces, de privilégier les réunions en audio ou en visioconférence. Des exemples de bonnes pratiques sont donnés dans l’annexe 1 du protocole. Pour en citer quelques-uns :

• Prévoir des marquages au sol pour éviter les croisements;
• Réorganiser les horaires pour éviter les arrivées nombreuses des salariés, clients, fournisseurs ou prestataires ;
• Laisser les portes ouvertes pour éviter tout contact ;
• Déterminer le nombre de personnes pouvant être présentes simultanément dans un même espace clos.

Concernant le port du masque, il est toujours obligatoire. Quelques exceptions sont néanmoins prévues :

• Pour les travailleurs bénéficiant d’un bureau individuel
• Pour les ateliers « dès lors que les conditions de ventilation / aération fonctionnelles sont conformes à la réglementation, que le nombre de personnes présentes dans la zone de travail est limité, que ces personnes respectent la plus grande distance possible entre elles, au moins 2 mètres (…) et portent une visière » ;
• Pour les salariés soumis au passe sanitaire.

 

Dépistage possible en entreprise

Les entreprises peuvent proposer à leurs salariés des autotests dans le respect des règles de volontariat et de secret médical et avec une information du salarié par un professionnel de santé conformément aux dispositions fixées par le ministère de la Santé.

 

Les règles d’isolement

Toute personne présentant des symptômes ou qualifiée de cas-contact doit être invitée par son employeur à ne pas se rendre sur son lieu de travail. Ces personnes doivent s’isoler à leur domicile dès l’apparition des symptômes et effectuer un test de dépistage.

Lorsque les symptômes se déclarent sur le lieu de travail, la personne concernée doit être isolée dans une pièce dédiée et aérée. En l’absence de signe de gravité, le médecin du travail ou le médecin traitant doivent être contactés. La personne pourra être renvoyée à son domicile si l’absence de signes de gravité se confirme. A contrario, il est impératif de contacter le SAMU.

–

–

–

 

Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.

Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com

L’AIPD, que l’on trouve également sous la dénomination Etude d’Impact sur la Vie Privée (EIVP) ou encore Privacy Impact Assessment (PIA), est un dispositif prévu par l’article 35 du RGPD. Aux termes de cet article, une étude d’impact doit obligatoirement être effectuée dès lors qu’un traitement sur des données personnelles est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées.

Ce nouvel outil revête donc une importance particulière dans la responsabilisation des organismes concernant le respect de la vie privée des internautes. Il permettra notamment aux entreprises de pouvoir justifier de leur conformité au RGPD.*

 

Qu’entend-on par risque sur la vie privée ?

Le risque élevé pour les droits et libertés des personnes concernées est un élément phare du RGPD. Il est le critère absolu d’engagements de procédures, notamment lors de la notification de violation de données personnelles.

Aucune définition précise de ce qu’est un « risque élevé » n’est donnée dans le Règlement. Un début de réponse est donné dans les considérants n°75, 76 et 85 du règlement. Généralement, on considère que le risque élevé est présent dès lors que les données personnelles pourraient faire l’objet d’une subtilisation, d’une modification ou encore d’une destruction.

L’évaluation des risques doit être réalisées par le DPO qui examinera l’étendu de la gravité et de la probabilité de survenance des conséquences que pourrait entraîner ce traitement pour les personnes concernées.

 

Quand est-ce QUE L’AIPD EST obligatoire ?

L’AIPD n’est pas systématique. Sa réalisation est obligatoire dans le cas où le traitement entraîne un risque élevé pour la vie privée.

Le troisième paragraphe de l’article 35 nous donne les cas où cette analyse devient impérative :

• Les traitements à grand échelle de données sensibles (département / région / pays) ;

• Les surveillances systématiques à grande échelle d’une zone accessible au public ;
• L’évaluation systématique et approfondie d’aspects personnels, y compris le profilage ;
• L’activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie, les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire.

Pour plus de clarté, vous pouvez vous consulter la liste établie par la CNIL.

 

Sous quelle forme doit se présenter l’AIPD ?

L’AIPD se divise en trois parties distinctes :

• Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
• L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
• L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

 

qui est en charge de l’AIPD ?

La personne habilitée à réaliser l’analyse doit être désignée par le DPO.

 

Et dans la pratique, ça donne quoi ?

Maintenant que vous savez ce qu’est une AIPD, il est essentiel d’aborder la question de sa mise en œuvre !

De nombreux logiciels existent sur le marché. Véritable gain de temps, ces logiciels sont là pour vous faciliter la tâche et garantir la conformité des traitements au RGPD. Certains sont gratuits, d’autres sont payants, avec chacun leurs avantages et leurs inconvénients.

La CNIL a même développé son propre logiciel open source PIA destiné aux débutants. Vous pouvez retrouver le processus en détails ici[2].

 

Conclusion

A partir du 25 mai 2021, tout traitement de données personnelles engendrant un risque élevé pour les droits et libertés de la personne concernées sera obligatoirement soumis à une Analyse d’Impact sur la Protection des Données. Cette analyse devra respecter le cadre prévu par le RGPD. Vous pouvez retrouver tous les détails et explications du process sur le site de la CNIL. N’hésitez pas à utiliser les logiciels mis à votre disposition.

L’obligation de mettre en place une AIPD ne vient que conforter l’application effective du RGPD. Votre entreprise doit veiller à rendre l’intégralité de ces traitements conforme au Règlement sous peine de recevoir une sanction.

 

—

—

Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.

Si vous souhaitez en discuter avec nous, n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com .

Chaque début d’année, la CNIL présente la stratégie qu’elle adoptera pour l’année en cours.

En comparaison à 2020, deux thématiques ont été reconduites et une a été délaissée. Contrairement à l’année dernière, la CNIL n’entend pas s’étendre sur la géolocalisation des services de proximité.

Ainsi, en 2021, la CNIL réservera donc plus d’une cinquantaine de contrôles pour les sujets suivants : l’utilisation de Cookies, la sécurité des données de santé et la cybersécurité du web français.

 

L’utilisation de cookies

La CNIL avait déjà basé sa stratégie de 2020 sur cette thématique. Le but ? Veiller au respect des obligations des entités sur le ciblage publicitaire et le profilage des internautes.

Pour ce faire, la CNIL procédera à des contrôles, notamment sur les procédures de recueil du consentement (sujet ayant fait l’objet de lignes directrices adoptées par la CNIL le 1^er octobre 2020).

 

La sécurité des données de santé

Pour cette année 2021, une seconde thématique a été reconduite : la sécurité des données de santé.

Le secteur de la santé s’est conformé au phénomène de numérisation. Des fichiers patients dans les organismes, en passant par la prise de rendez-vous en ligne, rien n’y échappe.

Continuant sur sa lancée, la CNIL souhaite évidemment renforcer les contrôles de sécurité dans ce domaine, mais également apporter son aide dans le processus de sécurisation.

La très récente fuite des données médicales de 500 000 français en début du mois de février ne fait que confirmer la nécessité de surveiller de près ce secteur.

 

La cybersécurité du web français

Une nouvelle thématique vient faire son entrée dans la stratégie de la CNIL : la cybersécurité du web français.

Les failles de sécurité du web représentent les manquements les plus souvent constatés par la CNIL lors de ses contrôles. Et les conséquences de ces failles peuvent être désastreuses, puisque bien souvent s’ensuit une fuite de données.

C’est pourquoi la CNIL a décidé de contrôler le niveau de sécurité des sites web les plus utilisés, avec une attention particulière sur les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe.

La CNIL va également questionner et aider les organismes dans leurs stratégies de prévention contre les rançongiciels.

Enfin, le traitement transfrontalier des données sera encadré par deux processus prévus au sein du RGPD :

• L’assistance mutuelle, qui permet de partager toutes informations utiles entre autorités de protection des données
• La réalisation d’opérations conjointes, qui permet d’effectuer des contrôles en France ou au sein d’autres États membres de l’Union européenne en présence des agents des autorités compétentes