Upload
emmanuel-pierre
View
174
Download
3
Embed Size (px)
Citation preview
Données personnelles :les clés
pour ne pas êtreHORS-LA-LOI
Stratégie et communication numériquesEtudes, conseil, formation
Correspondant informatique et libertés externe
Dispositif légal et réglementaire, bonnes pratiques, évolutions européennes
PROTÉGER LES LIBERTÉS INDIVIDUELLES
Le cadre légal et règlementaire
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
2
La situation actuelle en Europe…
Le droit à la protection des données et à la vie privée est gravé dans le marbre par le traité de l’Union européenne de Lisbonne du 13 décembre 2007, devenant ainsi un droit constitutionnel.
Mais une simple directive européenne, datant de 1995, diversement transposée dans les législations des 28 :§ limites aux transferts de données hors UE,§ amendes encourues,§ fonctionnement des autorités de contrôle,§ traitement des données de santé,§ rigueur de la définition même des données personnelles…
Sous le contrôle du G2925/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
3
… et en France
En août 2004, refonte complète de la loi informatique et liberté de 1978, en traduction de la directive européenne§ Un cadre insuffisamment protecteur pour les citoyens…§ … mais encore contraignant pour les entreprises (déclarations)§ malgré la prééminence d’une logique de contrôle a posteriori
Depuis, de nombreux amendements et adaptations, l’ajout de la LCEN… Conséquence : § un dispositif légal et règlementaire déséquilibré§ insuffisamment connu des chefs d’entreprises§ et illisible pour les citoyens et les consommateurs
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
4
DE QUOI PARLE-T-ON ?Les mots-clés « informatique et libertés »
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
5
Quelques éléments de sémantique…
Donnée « à caractère personnel »
Pseudonymisation
Traitement de données
Responsable de traitement
Finalité, proportionnalité & pertinence
Données sensibles
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
6
Vos obligations
Déclarer§ 3 régimes déclaratifs§ Logique de contrôle à posteriori
Informer
Obtenir le consentement (optin prospection et traceurs)
Respecter une durée de conservation
Assurer la sécurité physique et logique des données
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
7
Vos obligations
Droit à l’information (au moment de la collecte)
Droit d’accès et de rectificationDroit d’accès indirect (sûreté de l’Etat, défense, sécurité publique)Droit d’opposition (sauf obligation légale)
Droit à la tranquillité (pas de prospection commerciale)Droit à l’oubli (renforcé par le droit au déréférencement)
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
8
Surprise : contrôle !
Des contrôles renforcés depuis 2013§ 421 contrôles diligentés en 2014 (+ 20 % par rapport à 2011)
§ Une opération spécifique de contrôle en ligne sur les cookies effectuée en septembre 2014 (20 mises en demeure)
§ Un programme 2015 renforcé par le lancement du contrôle en ligne
4 principaux motifs de contrôle :§ Programme annuel
§ Plaintes répétées
§ Signalement interne
§ Ciblage
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
9
Un régime de sanctions proportionné
Mises en demeure, avis, lettres de clôture : priorité à la prévention
Les sanctions pécuniaires : sanctionner la mauvaise foi et les récidivistes
Renvoi au parquet, application de sanctions pénales : des cas rarissimes
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
10
UNIFORMISATION EUROPÉENNE À L’HORIZON 2018
Une évolution majeure
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
11
Les objectifs du règlement européen promulgué en 2016
Créer un corpus unique de règles relatives à la protection des données, valable dans toute l’Union
Supprimer ou alléger les obligations administratives inutiles
Sensibiliser et responsabiliser les responsables de traitements de données personnelles
Renforcer la maîtrise de leurs données par les citoyens, la transparence et la traçabilité des traitements
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
12
Ce qui va changer pour les citoyens
La consécration du droit à l’oubli
La facilitation du droit d’accès et l’instauration du droit à la portabilité des données personnelles
La généralisation du consentement explicite
La possibilité de s’adresser à son autorité de contrôle nationale pour toute démarche, y compris sur des données traitées par des instances hors UE
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
13
Ce qui va changer pour les entrepreneurs
Un interlocuteur unique : l’autorité de contrôle du pays dans lequel se trouve l’établissement principal
La nécessité :§ d’engager des études d’impact pour tout traitement de données personnelles sensibles§ de mettre en place une politique de Privacy by design pour tous les projets informatiques
La notification obligatoire à l’autorité de contrôle et aux personnes concernées de toute violation de données personnelles, et la solidarisation des sous-traitants avec leur responsable de traitement
Des amendes considérables en cas de manquement grave et répété : jusqu’à 2% du chiffre d’affaires global mondial
Le recrutement obligatoire d’un DPO à partir d’un certain seuil25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
14
LE DPO / CIL AU CŒUR DU DISPOSITIF
Améliorer sa protection, anticiper les changements
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
15
Une plaque tournante entre les différents acteurs
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
16
CNIL
Responsabledetraitements
Serviceschargés
delamiseenoeuvre
Personnesfichées
------------------------------
Mise à jour du registre
Alerte si besoin
Consultation
Projet
Recommandations
Formalités(autorisations,
avis)
Demande d’accès
Information
Rapport annuel
Contact privilégié
Aide
Fluidifier, anticiper, rassurer
Exonération de certaines obligations déclarativesAccès facilité à la commissionAnticipation de l’évolution des dossiers sensiblesRôle d’alerte
Désigner un CIL/DPO externe :Sont éligibles: § les entreprises de moins de 50 salariés§ dont le siège social se trouve en France
Désignation en ligne après signature d’un contrat de prestation de services
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
17
Merci [email protected]
06 86 67 30 38