PoissonPilote - INIZIA - Présentation données personnelles mai 2016

Données personnelles :les clés

pour ne pas êtreHORS-LA-LOI

Stratégie et communication numériquesEtudes, conseil, formation

Correspondant informatique et libertés externe

Dispositif légal et réglementaire, bonnes pratiques, évolutions européennes

PROTÉGER LES LIBERTÉS INDIVIDUELLES

Le cadre légal et règlementaire

JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique

2

La situation actuelle en Europe…

Le droit à la protection des données et à la vie privée est gravé dans le marbre par le traité de l’Union européenne de Lisbonne du 13 décembre 2007, devenant ainsi un droit constitutionnel.

Mais une simple directive européenne, datant de 1995, diversement transposée dans les législations des 28 :§ limites aux transferts de données hors UE,§ amendes encourues,§ fonctionnement des autorités de contrôle,§ traitement des données de santé,§ rigueur de la définition même des données personnelles…

Sous le contrôle du G2925/05/2016


3

… et en France

En août 2004, refonte complète de la loi informatique et liberté de 1978, en traduction de la directive européenne§ Un cadre insuffisamment protecteur pour les citoyens…§ … mais encore contraignant pour les entreprises (déclarations)§ malgré la prééminence d’une logique de contrôle a posteriori

Depuis, de nombreux amendements et adaptations, l’ajout de la LCEN… Conséquence : § un dispositif légal et règlementaire déséquilibré§ insuffisamment connu des chefs d’entreprises§ et illisible pour les citoyens et les consommateurs

25/05/2016


4

DE QUOI PARLE-T-ON ?Les mots-clés « informatique et libertés »

25/05/2016


5

Quelques éléments de sémantique…

Donnée « à caractère personnel »

Pseudonymisation

Traitement de données

Responsable de traitement

Finalité, proportionnalité & pertinence

Données sensibles

25/05/2016


6

Vos obligations

Déclarer§ 3 régimes déclaratifs§ Logique de contrôle à posteriori

Informer

Obtenir le consentement (optin prospection et traceurs)

Respecter une durée de conservation

Assurer la sécurité physique et logique des données

25/05/2016


7

Vos obligations

Droit à l’information (au moment de la collecte)

Droit d’accès et de rectificationDroit d’accès indirect (sûreté de l’Etat, défense, sécurité publique)Droit d’opposition (sauf obligation légale)

Droit à la tranquillité (pas de prospection commerciale)Droit à l’oubli (renforcé par le droit au déréférencement)

25/05/2016


8

Surprise : contrôle !

Des contrôles renforcés depuis 2013§ 421 contrôles diligentés en 2014 (+ 20 % par rapport à 2011)

§ Une opération spécifique de contrôle en ligne sur les cookies effectuée en septembre 2014 (20 mises en demeure)

§ Un programme 2015 renforcé par le lancement du contrôle en ligne

4 principaux motifs de contrôle :§ Programme annuel

§ Plaintes répétées

§ Signalement interne

§ Ciblage

25/05/2016


9

Un régime de sanctions proportionné

Mises en demeure, avis, lettres de clôture : priorité à la prévention

Les sanctions pécuniaires : sanctionner la mauvaise foi et les récidivistes

Renvoi au parquet, application de sanctions pénales : des cas rarissimes

25/05/2016


10

UNIFORMISATION EUROPÉENNE À L’HORIZON 2018

Une évolution majeure

25/05/2016


11

Les objectifs du règlement européen promulgué en 2016

Créer un corpus unique de règles relatives à la protection des données, valable dans toute l’Union

Supprimer ou alléger les obligations administratives inutiles

Sensibiliser et responsabiliser les responsables de traitements de données personnelles

Renforcer la maîtrise de leurs données par les citoyens, la transparence et la traçabilité des traitements

25/05/2016


12

Ce qui va changer pour les citoyens

La consécration du droit à l’oubli

La facilitation du droit d’accès et l’instauration du droit à la portabilité des données personnelles

La généralisation du consentement explicite

La possibilité de s’adresser à son autorité de contrôle nationale pour toute démarche, y compris sur des données traitées par des instances hors UE

25/05/2016


13

Ce qui va changer pour les entrepreneurs

Un interlocuteur unique : l’autorité de contrôle du pays dans lequel se trouve l’établissement principal

La nécessité :§ d’engager des études d’impact pour tout traitement de données personnelles sensibles§ de mettre en place une politique de Privacy by design pour tous les projets informatiques

La notification obligatoire à l’autorité de contrôle et aux personnes concernées de toute violation de données personnelles, et la solidarisation des sous-traitants avec leur responsable de traitement

Des amendes considérables en cas de manquement grave et répété : jusqu’à 2% du chiffre d’affaires global mondial

Le recrutement obligatoire d’un DPO à partir d’un certain seuil25/05/2016


14

LE DPO / CIL AU CŒUR DU DISPOSITIF

Améliorer sa protection, anticiper les changements

25/05/2016


15

Une plaque tournante entre les différents acteurs

25/05/2016


16

CNIL

Responsabledetraitements

Serviceschargés

delamiseenoeuvre

Personnesfichées

------------------------------

Mise à jour du registre

Alerte si besoin

Consultation

Projet

Recommandations

Formalités(autorisations,

avis)

Demande d’accès

Information

Rapport annuel

Contact privilégié

Aide

Fluidifier, anticiper, rassurer

Exonération de certaines obligations déclarativesAccès facilité à la commissionAnticipation de l’évolution des dossiers sensiblesRôle d’alerte

Désigner un CIL/DPO externe :Sont éligibles: § les entreprises de moins de 50 salariés§ dont le siège social se trouve en France

Désignation en ligne après signature d’un contrat de prestation de services

25/05/2016


17

Merci [email protected]

06 86 67 30 38

Business

PoissonPilote - INIZIA - Présentation données personnelles mai 2016