FÉRAL partage régulièrement sur sa page LinkedIn des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
Fraude au président : dans quelles conditions les banques doivent-elles restituer les sommes indument versées ?
Alors que les cas de phishing et smiphing vont croissant, la Cour de cassation a rendu un arrêt relatif au cas dit de “fraude au président”.
En l’espèce, la comptable d’une société avait ordonné des virements en exécution de faux ordres, adressés par un escroc usurpant l’identité du dirigeant. La société a assigné la banque pour obtenir la restitution des sommes versées.
Par un arrêt du 2 octobre 2024, la Cour de cassation a considéré que la banque avait manqué à son obligation de vigilance et l’a condamnée à restituer les sommes versées.
La Cour a relevé qu’en raison d’anomalies apparentes (montant des virements, nouveau bénéficiaire situé à l’étranger, etc.), la banque aurait dû obtenir la confirmation des ordres de virement auprès du dirigeant de la société.
Avec l’essor de la cybermalveillance, les entreprises doivent sensibiliser leur personnel aux bonnes pratiques permettant de limiter ces opérations frauduleuses (processus internes de validation, rappel des règles, etc.)
Lire l’arrêt de la Cour de cassation du 2 octobre 2024, n° 23-13.282
Données personnelles : le CEPD précise les obligations incombant aux responsables du traitement qui recourent à des chaînes complexes de sous-traitance
Dans son avis adopté le 7 octobre 2024, le CEPD a clarifié l’interprétation des obligations découlant de l’article 28 du RGPD et précise notamment que :
Les responsables de traitements doivent pouvoir disposer à tout moment d’informations sur l’identité de tous leurs sous-traitants (initiaux ou ultérieurs) afin de pouvoir s’acquitter au mieux de leurs obligations.
En cas d’autorisation générale de sous-traitance ultérieure, les sous-traitants doivent communiquer de manière proactive aux responsables du traitement toute information pertinente sur la manière dont l’activité de traitement est réalisée pour leur compte.
Les responsables de traitements sont tenus de vérifier et de prouver que les sous-traitants qui composent la chaîne de sous-traitance présentent des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées dont le niveau dépendra du niveau de risque associé au traitement.
Les responsables du traitement ont l’obligation de cartographier l’ensemble des transferts hors UE et de s’assurer que les garanties imposées par le RGPD en matière de transfert de données ont bien été mises en place.
Lire l’avis n° 22/2024 du CEPD sur certaines obligations découlant de la confiance accordée au(x) sous-traitant(s) et au(x) sous-traitant(s) ultérieurs
Le CEPD a adopté un projet de lignes directrices dédiées au recours à l’intérêt légitime comme base légale pour fonder un traitement de données personnelles
Le Comité précise qu’il n’existe aucune hiérarchie entre les bases légales prévues par le RGPD et qu’en conséquence l’intérêt légitime ne doit pas constituer une solution de dernier recours pour fonder un traitement.
Il rappelle les conditions à remplir pour pouvoir utiliser cette base légale et invite les responsables de traitement à documenter, dans le cadre de leur démarche d’accountability, l’analyse menée en interne pour justifier de la possibilité d’utiliser l’intérêt légitime notamment s’agissant de l’exercice de mise en balance de l’intérêt avec les droits et libertés des personnes concernées.
Le CEPD s’est également penché sur l’utilisation de cette base dans le cadre de contextes spécifiques tels que la prévention de la fraude, le marketing direct ou encore la sécurité des réseaux et systèmes d’information.
Les lignes directrices apportent également des précisions sur les liens entre intérêt légitime et droit des personnes concernées. Aussi, s’agissant du droit d’opposition, le CEPD précise que les motifs légitimes et impérieux invoqués par le responsable de traitement pour refuser de donner suite à la demande d’une personne concernée doivent être essentiels pour ce dernier (par exemple pour protéger ses systèmes d’un préjudice grave et immédiat).
Ces lignes directrices font l’objet d’une consultation publique jusqu’au 20 novembre 2024.
Lire les lignes directrices n°1/2024 du CEPD sur le traitement des données à caractère personnel fondé sur l’article 6 §1 f) du RGPD
