La CNIL est habituée à sanctionner les dérives de la prospection commerciale au regard du RGPD. La décision récente, sanctionnant une entreprise à 310.000€ d’amende pour avoir acheté des fichiers de prospects non-conformes, illustre une fois de plus l’importance de mettre en oeuvre des processus efficaces pour assurer la conformité RGPD des entreprises opérant sur le territoire européen. Si la décision présente est assez classique, CNIL vient cependant imposer une obligation nouvelle aux organisations procédant à l’achat de fichiers : s’assurer que les données ont été collectées de manière conforme par les courtiers en données. Cela va imposer un travail assez substantiel. Rappelons rapidement le contexte de la décision ainsi que les principaux points importants.

La base légale des intérêts légitimes est une base légale à risque. De nombreux responsables de traitement, en effet, tendent à recourir à cette base légale dans des situations dans lesquelles elle ne peut être utilisée, comme par exemple dans des situations où le consentement est requis! Il en résulte un risque d’amende - comme en témoigne l’affaire Facebook (Meta) qui a été l’objet d’une sanction de 390 millions d’euros pour avoir utilisé les intérêts légitimes à mauvais escient.

Le RGPD impose de nombreuses règles (dont le consentement), lors de la collecte de données personnelles auprès des utilisateurs. Nous allons voir 7 exemples de formulaires à mettre en conformité, ainsi que le détail des règles au cas par cas. Attention, ces règles font régulièrement l’objet de sanctions. Si vous souhaitez tester automatiquement vos formulaires, vous pouvez utiliser un logiciel de conformité RGPD pour réaliser un audit RGPD de vos formulaires et de voir vos points de non-conformité ou de rédiger automatiquement vos mentions légales.

La Commission européenne vient d’adopter une décision d’adéquation entre les États-Unis et l’Europe qui autorise le transfert de données personnelles aux entreprises ou organisations ayant adopté le EU-US Data Privacy Framework (DPF).

Vous trouverez ci-après un modèle de conditions générales de vente libre et gratuit que vous pouvez réutiliser gratuitement. Les conditions générales de vente (CGV) sont les informations obligatoires que le vendeur doit fournir à la personne qui achète un produit ou un service. La loi impose que certaines informations soient présentées de manière claire, comme le prix, les modalités de livraison, les délais de livraison, les frais associés à la prestation, etc.

L’article 13 du RGPD est une disposition importante qui détaille l’ensemble des mentions légales qui doivent être affichées à un utilisateur avant la collecte de ses données personnelles.

L’article 28 du RGPD est sans doute l’une des dispositions les plus importantes en termes pratiques puisqu’il impose aux responsables de traitement (RT) une série d’obligations pratiques dans la gestion des sous-traitants qui interviennent sur les données personnelles (ST).

Il est important de s’assurer du respect du RGPD lorsque l’on collecte des données personnelles, car de nombreuses sanctions ont été prononcées à ce sujet (voir 14 sanctions RGPD que vous devez impérativement connaître).

En matière de conformité informatique et libertés - ou de conformité RGPD - il existe une série d’obligations légales qu’il est essentiel de maîtriser. Voici les principales :