Bref, j’ai décidé de me mettre en conformité avec leNouveau Règlement sur la Protection des Données…
–#legdprestpartout
Stéphane Baïkoff & Mael Fablet
Traitements de données personnelles,de quoi parle t-on ?
Traitementsde donnéesclassiques
d’uneentreprise
RH
Clients/Prospects
Fournisseurs
Autres(visiteurs
etc.)
EXEMPLES DE DONNEES PERSONNELLES► nom/ prénom, adresse et coordonnées (téléphone, email etc.)► statut marital, informations relatives aux enfants (nom, âge, nombre etc.)► numéro de client, de carte, de finalité► données bancaires► images/ films / vidéosurveillance, enregistrements téléphoniques► tendances d’achat, historique des paniers, préférences► données de connexion (login, identifiants, mots de passe), cookies, historique de navigation,
adresse IP► coordonnées GPS► numéro de sécurité sociale► données relatives aux opinions religieuses, syndicales, politiques ou à l’orientation sexuelle,
données relatives à la santé du client► numéro de badge / logs de passage en badgeuse► données biométriques (empreintes digitales, iris, mensurations etc.)► plaque d’immatriculation► données relatives à des infractions (notamment routières)► données relatives à la santé (pathologie, maladie, blessure etc.)
Prise en compte nécessaire de laprotection des données personnelles
Règlementation stricte
► Sanctions pénales (5 ans d’emprisonnementet 1 500 000 € d’amende) et sanctions CNIL(sanctions pécuniaires jusqu’à 300 000 € - en casde récidive / injonction de cesser l’utilisation d’untraitement / mesure de publicité)
► Loi pour une République Numérique : montantmaximal de la sanction pécuniaire CNIL jusqu’à 3millions d’euros
► Allemagne : Sanctions pénales (2 ansd’emprisonnement et amende) et sanctionsadministratives (pécuniaires jusqu’à 300 000 € /interdiction de mise en œuvre du traitement…)
► Espagne : Sanctions pénales (4 ansd’emprisonnement et amende) et sanctionsadministratives (pécuniaires jusqu’à 600 000 € /interdiction de mise en œuvre du traitement…)
Augmentationdu volume
de donnéestraitées
Nécessaireadaptationdu cadre
règlementaireaux nouvelles
pratiques
Des donnéescollectées de plusen plus précises
(profilage)
Dispositionsexistantes
plus adaptéesà l’évolution
technologique
Nécessitéde garantir
la protectiondes données
et la vie privée
Data
Réforme du cadre règlementaire : le GDPR
►Objectif de la réforme : refonte de l’ensemble du cadre juridique européen issude la Directive 95-46 du 24 octobre 1995
►Application directe du GDPR dans tous les Etats membres de l’UE
► Calendrier de mise en œuvre du GDPR
Ñ Extension du champ d’application
Matériel Territorial
► Traitements de données personnelles► Personne physique► Exclusion des activités personnelles
► Etablissement du Responsable deTraitement (RT) ou sous-traitant (ST) en UE
► RT ou ST non établi en UE► Offre de biens ou services destinée à des personnes dans
UE
14 Avril 2016Adoption du GDPR
par les Etats membres
2017Développement
d’un plan d’action ?
25 Mai 2018Entrée en vigueur
du GDPR
I. Les nouvelles obligations du GDPR1. Les acteurs
► Personne physique ou morale, autoritépublique, service ou autre organisme
► Seul ou conjointement avec d'autres
► Détermine les finalités et les moyens dutraitement
► Personne physique ou morale, autorité publique,service ou autre organisme
► Traite des données à caractère personnel pourle compte du responsable du traitement
Responsablede traitement
Sous-traitant
► Responsable de l’ensemble des obligationsmises à sa charge par le GDPR
► Responsable du dommage causé par letraitement
► Toute personne ayant subi un dommage adroit à réparation du fait d’une violation duGDPR
► Responsable du dommage causé par letraitement uniquement s’il n’a pas respectéses obligations ou a agi en dehors desinstructions du RT
A - IDENTIFICATION DES PRINCIPAUX ACTEURS ► RÉPARTITION DES RESPONSABILITÉS
I. Les nouvelles obligations du GDPR1. Les acteurs
B - DÉSIGNATION D’UN DATA PRIVACY OFFICER ?
Désignation obligatoire
► Autorité ou entité publique
► Activités principales quiimpliquent des traitementsinduisant un « suivi régulieret systématique despersonnes à grande échelle »
► Traitements « à grandeéchelle des catégoriesparticulières de données(données sensibles…) et desdonnées relatives à descondamnations etinfractions »
Modalités
► DPO unique au niveau dugroupe
► Personnel ou prestataireexterne (contrat)
Missions
► Informer et conseiller
► Contrôler la conformité despratiques internes(sensibilisation et formationdu personnel, audit…)
► Superviser la réalisation desPIA
► Point de contact avec lesautorités
► Indépendance
► Absence de conflitsd’intérêts
► Secret professionnel /obligation de confidentialité
Fonction
I. Les nouvelles obligations du GDPR2. La responsabilisation des acteurs
► Allègement des formalités préalables► Suppression des déclarations
► Régime spécifique de demande d’autorisationmaintenu pour certains transferts hors UE
► Régime de consultation préalable défini pourcertains traitements
► Accountability► Obligation de recenser les traitements
A - RESPONSABILISATION DES ACTEURS
I. Les nouvelles obligations du GDPR- modèle de registre proposé par la CNIL -B - LE REGISTRE DES TRAITEMENTS
I. Les nouvelles obligations du GDPR2. La responsabilisation des acteurs
►Obligatoire pour les traitements susceptibles d’engendrer un «risqueélevé pour les droits et libertés», et en particulier s’il y a :
► Profilage,► Traitement à grande échelle de données sensibles,► Surveillance systématique et à grande échelle de zones accessibles au public.
►Les Autorités de protection des données peuvent déterminer lescatégories de traitements nécessitant une étude d’impact.
►Consultation de l’Autorité de protection des données obligatoire sil’analyse d’impact confirme un « risque élevé ».
C - ANALYSE D’IMPACT (« PRIVACY IMPACT ASSESSMENT - PIA »)
I. Les nouvelles obligations du GDPR2. La responsabilisation des acteurs
E - Notification des violations de sécurité
D - Privacy by Design Privacy by Default
► Conception des services tenant compte du respect de la vieprivée
► Respect du principe de minimisation des données et delimitation des finalités
► Haut standard de sécurité depuis la conception
► Documentation des mesures techniques et opérationnelles
► Mise en œuvre des mesures techniques et organisationnellespour garantir que par défaut, seules les donnéespersonnelles nécessaires à la finalité du traitement sonttraitées (ex. quantité, accès limité aux seules personnes yayant intérêt, etc.)
► Documentation des mesures techniques et opérationnelles
Responsable de traitement Sous-traitant
► Obligation de notification étendue à l’ensemble des RT
► Contenu notification (catégories de données concernées,conséquences, mesures prises)
► Obligation d’alerter les individus si haut risque pour les droitset les libertés de l’individu (sauf mesures de protectionappropriées prises)
► Obligation d’alerter et d’informer le RT de l’existence d’uneviolation de sécurité
I. Les nouvelles obligations du GDPR3. L’obligation de sécurité du traitement
OBLIGATION DE SÉCURITÉ DU TRAITEMENT
Ñ Obligation à la charge du Responsable du traitement et du sous-traitantÑ Mise en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté
au risque
Critèresd’appréciation
des mesures
Catégoriesde mesures
Etat des connaissances et coûtsde mise en œuvre
Nature, portée, contexte, finalitédu traitement
Risques présentés par letraitement (degré de probabilité etde gravité) résultant de ladestruction, perte, altération,divulgation, accès non autorisé auxdonnées
Pseudonymisation / chiffrementdes données
Moyens permettant de garantir laconfidentialité des systèmes detraitement…
Procédure d’évaluation régulièredes mesures de sécurité
Moyens permettant de rétablir ladisponibilité / accès aux donnéesen cas d’incident physique outechnique
Pseudonymisation
► Les données ne peuvent plus être attribuées àun individu sans avoir recours à desinformations supplémentaires conservées demanière séparée afin de garantir qu’il ne soitplus identifié ou identifiable
► RÉVERSIBLE
► Technique consistant à supprimer toutcaractère identifiant à un ensemble de données
► IRRÉVERSIBLE
Anonymisation
I. Les nouvelles obligations du GDPR4. La gestion des transferts hors UE
RÉGIME DES TRANSFERTS
► Restriction des transfertsde données
► Le GDPR autorise lestransferts de données versdes pays dont le régimefournit un niveau adéquatde protection des donnéespersonnelles.
► A défaut, il fautdes garanties adéquates
Dérogations limitées (consentement, exécution d’un contrat…)
Instrument juridiquement contraignant et exécutoire entre les autorités ouorganismes publics
Binding Corporate Rules («BCR»)
Clauses contractuelles standard adoptées par la Commission européenne
Clauses contractuelles standard adoptées par une autorité de contrôleet approuvées par la Commission
Code de conduite approuvé
Mécanisme de certification
II. Evolution des droits despersonnes avec le GDPR1. Les droits existants renforcés
Définition précisée (libre,spécifique et éclairée, univoque)
Preuve à charge du RT
Consentement des enfants(autorisation parentale,« raisonnables efforts »de vérification)
Mentions supplémentaires(intérêt légitime du RT, droit deretirer son consentement,existence d’une décisionautomatisée, etc.)
Renforcement
Activités de marketing
Profilage
Précisionde son champ d’application
ConsentementInformation
despersonnes
Droitd’accès
Droitsd’opposition
II. Evolution des droits des personnesavec le GDPR3. La création de nouveaux droitsNOUVEAUX DROITS
Droit àl’effacement
(droit àl’oubli)
► Droit d’obtenir l’effacement de ses données dans les meilleurs délais► Conditions : données plus nécessaires, retrait du consentement, opposition au traitement…► Exceptions : liberté d’expression et d’information, obligation légale…
Droità la limitation
dutraitement
► Contestation exactitude des données► Traitement illicite et la personne préfère une limitation à un effacement► Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale…)
Droità la portabilitédes données
► Extension du droit d’accès (données fournies à un RT)► Interopérabilité (format structuré, couramment utilisé et lisible par machine)► Transfert (à un autre RT)► Restrictions (traitement de données automatisés,…)
III. Outils de mise en conformité
► Codes de conduite► Elaborés par des associations ou entités représentatives des RT/ST► Approuvés par les Autorités► Adhésion facultative, mais valeur contraignante► Contrôle du respect des codes par un organisme accrédité par l’Autorité
► Certifications, labels et marques de protection des données :► Accordés par des organismes accrédités par les Autorités pour 3 ans, au plus, renouvelables► Création de labels européens (« European Data Protection Seal »)► Registre public tenu par le CEPD (Comité Européen de Protection des Données)
► Inconvénient► Cadre juridique pas intégralement finalisé : attente acte délégué/acte d’exécution► Absence de recul opérationnel
NOUVEAUX OUTILS DE MISE EN CONFORMITÉ
GDPR en France UE
► Rappel : pouvoirs de contrôle de la CNIL
► Contrôle sur place;
► Contrôle sur pièces;
► Contrôle sur convocation;
► Contrôle en ligne.
► Rappel : pouvoirs des autorités de contrôle
► Pouvoirs de contrôle (enquête)
► Mener des enquêtes sous forme d’audit
► Procéder à un examen des certifications
► Accéder aux informations et aux locaux du RT et duST…
► Pouvoir d’ester en justice
► Mécanisme de coopération et d’autorité chef de file
► Comité européen de la protection des données
► Pouvoirs de sanctions
► Renforcement des sanctions administratives :
► Jusqu’à 20 m€ ou 4 % du CA annuel global ;
► Simple avertissement.
► Sanction pénale applicable selon la législationnationale
► Sanctions :
► Sanctions administratives - ex. sanctions financières pécuniairesjusqu’à 3 000 000 € (loi pour une République Numérique) ;
► Sanctions pénales ;
► Risque d’image / commercial ;
► Risque de contentieux social / commercial.
IV. Sanctions
V. Par où commencer?
Recenser sestraitements
Etablir sonregistre
Se mettre enconformité
(cadre actuel)
Déployer lesoutils (mentionsd’informations,
contrats ST)
DPO?