Upload
marc-antoine-ledieu-avocat
View
26
Download
1
Embed Size (px)
Citation preview
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
17
HOROLOGIOM 02_INTcs3.indd 17HOROLOGIOM 02_INTcs3.indd 17 19/07/11 15:39:3519/07/11 15:39:35
Rglement "Data Protection" n2016/679
RESPONSABILIT
[art.4.7]
responsable
de traitements
"Horologiom" par Fabrice Lebeault ditions Delcourt
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s
CON
FORM
IT
http://www.ledieu-avocats.fr
45
HOROLOGIOM 03_INTcs3.indd 45HOROLOGIOM 03_INTcs3.indd 45 20/07/11 11:13:5020/07/11 11:13:50
SOMMAIRE
PRINCIPE ET CONDITIONS
DE VALIDIT DES TRAITEMENTS
Ledieu-Avocats2017 2
"Horologiom" par Fabrice Lebeault ditions Delcourt
"GRDP" 2016/679 donnes
personnelles
donn
es
[per
sonn
elle
s]
traitement[art.4.2]
leprincipederesponsabilitduresponsable
lesgarantiesderespectdesobligationsdela"GRDP"
privacybydesign/bydefault
1principeet6conditionsrespecter
leprincipeduconsentementcollecte/traitement
les5exceptionsconsentement
les6conditionsdevaliditd'untraitement
RESPONSABILIT DU RESPONSABILIT
DE TRAITEMENT
42
HOROLOGIOM 03_INTcs3.indd 42HOROLOGIOM 03_INTcs3.indd 42 20/07/11 11:13:2520/07/11 11:13:25
Rglement "RGDP"
Data Protection n2016/679
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
PRINCIPE ET
CONDITIONS DE VALIDIT
"Horologiom" par Fabrice Lebeault ditions Delcourt
donn
es
[per
sonn
elle
s]
des traitement
[art.4.2]
http://www.ledieu-avocats.fr
25
HOROLOGIOM 02_INTcs3.indd 25HOROLOGIOM 02_INTcs3.indd 25 19/07/11 15:41:1519/07/11 15:41:15
Ledieu-Avocats2017"GRDP"
2016/679 donnes
personnelles
4
doit respecter 1 principe et 6 conditions. A lui de prouver
qu'il les respecte.
[art.4.7]
le responsable
de traitement
conditions de collecte
et de traitement des donnes [personnelles]
le consentement traitement des donnes [personnelles]
art.5.2
1 principe
6 conditions
"Horologiom" par Fabrice Lebeault ditions Delcourt
art.5.1
art.6.1al.1
"GRDP" 2016/679 donnes
personnelles
5
40
HOROLOGIOM 03_INTcs3.indd 40HOROLOGIOM 03_INTcs3.indd 40 20/07/11 11:13:0220/07/11 11:13:02
Le principe ?
C'est le consentement traitement
art.6.1.al.1a)
Ledieu-Avocats2017 "Horologiom" par Fabrice Lebeault ditions Delcourt
consentement
?
le principe
du consentement
par un acte positif
explicite
par une dclaration
ou
traitement
[art.4.2]
et univoque
[qui n'est pas quivoque]
art.4.11
toute manifestation
de volont
fassent l'objet d'un
par laquelle
accepte que ses
libre, spcifique, informe
concerne
la personne
QUI ?
directem
ent
indirectem
ent
donnes [personnelles]
[art.4.1]
25
HOROLOGIOM 03_INTcs3.indd 25 HOROLOGIOM 03_INTcs3.indd 2520/07/11 11:10:55 20/07/11 11:10:55
"GRDP" 2016/679 donnes
personnelles
6Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
1/2 2/2rapPel
consentement
? ?
14
HOROLOGIOM 04_INTcs3.indd 14HOROLOGIOM 04_INTcs3.indd 14 19/07/11 16:03:2119/07/11 16:03:21
7Ledieu-Avocats2017
la demande de consentement est prsente
sous une forme qui la distingue
clairement de ces autres questions
sous une forme comprhensible et
aisment accessible
et formule en des termes
clairs et
simples.
P
hilip
pe G
auck
ler 2
016
pour les dtail allez lire sur ce blog "GRDP les notions fondamentales"
et qui concerne galement
d'autres questions
Si le consentement est donn par dclaration
crite
par exemple une acceptation des CGU
"GRDP" 2016/679 donnes
personnelles
art.7.2
"Horologiom" par Fabrice Lebeault ditions Delcourt
rapPel
16
HOROLOGIOM 02_INTcs3.indd 16HOROLOGIOM 02_INTcs3.indd 16 19/07/11 15:39:2319/07/11 15:39:23
Ledieu-Avocats2017 8
a) principe du consentement
traitement pour des finalits
explicites
traitement ncessaire aux fins des intrts
lgitimes du responsable du
traitement
5/5
e) traitement
ncessaire une mission d'intrt
public
4/5
c) traitement
ncessaire au respect d'une
obligation lgale
2/5
b) traitement ncessaire
l'excution d'un contrat
1/5
d) traitement ncessaire la sauvegarde des intrts vitaux
3/5
le principe du consentement.
et ses 5 exceptions.
nouveau
exceptions :
"GRDP" 2016/679 donnes
personnelles art.6.1.al.1)
"Horologiom" par Fabrice Lebeault ditions Delcourt
27
HOROLOGIOM 04_INTcs3.indd 27HOROLOGIOM 04_INTcs3.indd 27 19/07/11 16:07:4519/07/11 16:07:45
a) principe du consentement
traitement pour des finalits
explicites
traitement ncessaire aux fins des intrts
lgitimes du responsable du
traitement
5/5
e) traitement
ncessaire une mission d'intrt
public
4/5
c) traitement
ncessaire au respect d'une
obligation lgale
2/5
b) traitement ncessaire
l'excution d'un contrat
1/5
d) traitement ncessaire la sauvegarde des intrts vitaux
3/5
nouveau
exceptions :
art.6.1.al.1)
Le traitement n'est licite que si, et dans la mesure o,
au moins 1 des 5 conditions
suivantes est remplie :
9
"GRDP" 2016/679 donnes
personnelles
Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
13
HOROLOGIOM 04_INTcs3.indd 13HOROLOGIOM 04_INTcs3.indd 13 19/07/11 16:03:0519/07/11 16:03:05
il n'est pas impos de collecter
le consentement si le traitement est ncessaire :
b) l'excution d'un contrat / pr-contrat
c) au respect d'une obligation lgale
d) la sauvegarde des intrts
vitaux e) une mission d'intrt public
f) aux fins des intrts lgitimes du responsable du traitement
moins que ne prvalent les intrts ou les liberts et droits fondamentaux
de la personne concerne
10
"GRDP" 2016/679 donnes
personnelles
Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
36
HOROLOGIOM 05_INTcs3.indd 36HOROLOGIOM 05_INTcs3.indd 36 19/07/11 16:19:5919/07/11 16:19:59
la plupart des exceptions au consentement pralable
ne sont pas nouvelles
e) traitement
ncessaire une mission d'intrt
public
4/5
c) traitement
ncessaire au respect d'une
obligation lgale
2/5
b) traitement ncessaire
l'excution d'un contrat
1/5
d) traitement ncessaire la sauvegarde des intrts vitaux
3/5
Ledieu-Avocats2017 11
"GRDP" 2016/679 donnes
personnelles
"Horologiom" par Fabrice Lebeault ditions Delcourt
16
HOROLOGIOM 02_INTcs3.indd 16HOROLOGIOM 02_INTcs3.indd 16 19/07/11 15:39:2319/07/11 15:39:23
Ledieu-Avocats2017 12
a) principe du consentement
traitement pour des finalits
explicites
b) traitement ncessaire l'excution
d'un contrat auquel la personne concerne est partie ou l'excution de mesures
prcontractuelles prises la demande de celle-ci
1/5
L'exception de "traitement ncessaire
l'excution d'un contrat"
exceptions :
"GRDP" 2016/679 donnes
personnelles
art.6.1.al.1)
"Horologiom" par Fabrice Lebeault ditions Delcourt
P
hilip
pe G
auck
ler 2
016
si vous commandez un
livre online
le traitement des
donnes de votre adresse physique est
ncessaire au vendeur pour la
livraisonvotre
consentement n'est alors pas
obligatoire !
prcision
16
HOROLOGIOM 02_INTcs3.indd 16HOROLOGIOM 02_INTcs3.indd 16 19/07/11 15:39:2319/07/11 15:39:23
Ledieu-Avocats2017 13
a) principe du consentement
traitement pour des finalits
explicites traitement ncessaire aux fins
des intrts lgitimes poursuivis par le responsable du
traitement ou par un tiers5/5
nouveau
exceptions :
"GRDP" 2016/679 donnes
personnelles
art.6.1.al.1)
P
hilip
pe G
auck
ler 2
016
les "intrts lgitimes du
responsable du traitement" ?
a me rappelle quelque chose voyons voir
L'exception de "traitement ncessaire
aux fins des intrts lgitimes du responsable
du traitement"
"Horologiom" par Fabrice Lebeault ditions Delcourt
moins que ne prvalent les intrts ou les liberts et droits
fondamentaux
de la personne
concerne qui exigent une protection des
donnes [personnelles], notamment lorsque la personne concerne
est un enfant
prcision
14
"Hor
olog
ium
" par
Fab
rice
Lebe
au
di
tions
Del
cour
t
Ledieu-Avocats2017
6/6L'ULTIME DROGATION art. 49.1 al.2
6
HOROLOGIOM 03_INTcs3.indd 6HOROLOGIOM 03_INTcs3.indd 6 9/08/11 17:09:349/08/11 17:09:34
UNE 6 EXCEPTION ?
L'INTRT LGITIME ET IMPRIEUX DU RESPONSABLE DU TRAITEMENT ?
RGLEMENT UE "GRDP"
N2016/679 DONNES
PERSONNELLES
LES TRANSFERTS INTERNATIONAUX
DE DONNESrapPel
"Horologiom" par Fabrice Lebeault ditions Delcourt
Ledieu-Avocats2017
TRANSFERT HORS UEDONNES
[PERSONNELLES]
4) information du
transfert
5) information
au "fich"
TRANSFERT SI INTRT LGITIME ET
IMPRIEUX DU RESPONSABLE NE
PRVALANT PAS SUR LES INTRTS OU LES DROITS
ET LIBERTS DES "FICHS"
1) pas de transfert rptitif
2) nombre limit de "fichs"
collectedirecte
[art. 13]
collecteindirecte
[art.14]
du transfert
de l'intrt lgitime et imprieux
sauf prrogatives de puissance
publique
6/6L'ULTIME DROGATION art. 49.1 al.2
15
SEULEMENT SI :
"Hor
olog
ium
" par
Fab
rice
Lebe
au
di
tions
Del
cour
t
DCISION D'ADQUATION
Commission
1/6
[art.47]
[B.C.R.]3/6
drogationsspciales
sous
CONDITION
[art.49] 5/6
GARANTIES !!!
[art.46]
APPROPRIES
2/6
drogationsspciales
sous
CONDITION
[art.49]
autorit
decontrle
[art.4.21]
RGLEMENT UE "GRDP"
N2016/679 DONNES
PERSONNELLES
rapPel
registre
[art. 30]
3) valuation et garanties
appropries de protection
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
32
HOROLOGIOM 02_INTcs3.indd 32HOROLOGIOM 02_INTcs3.indd 32 19/07/11 15:42:3419/07/11 15:42:34
"Horologiom" par Fabrice Lebeault ditions Delcourt
LES TRANSFERTS INTERNATIONAUX
DE DONNES
Rglement "RGDP"
Data Protection n2016/679
pour alLer plus loin
http://www.ledieu-avocats.fr
28
HOROLOGIOM 02_INTcs3.indd 28HOROLOGIOM 02_INTcs3.indd 28 20/07/11 9:48:3320/07/11 9:48:33
"GRDP" 2016/679 donnes
personnelles
Ledieu-Avocats2017 17
les 6 conditions de collecte
et de traitement
des donnes [personnelles]
art.5.1
"Horologiom" par Fabrice Lebeault ditions Delcourt
17
HOROLOGIOM 02_INTcs3.indd 17 HOROLOGIOM 02_INTcs3.indd 1719/07/11 15:39:35 19/07/11 15:39:35
6 conditions de collecte
et de traitement art.5.1
Ledieu-Avocats2017 "GRDP" 2016/679 donnes
personnelles
18
a) traitement licite, loyal et transparent
1/6
f) garantie de scurit des
donnes
6/6
e) dure de
conservation des donnes
limite
5/6
c) finalit de traitement
et donnes adquates, pertinentes et limites
3/6
b) finalit de traitement
dtermine, explicite et
lgitime
2/6
d) donnes exactes
et, si ncessaire, tenues jour
4/6
[art.4.7]
responsable
detraitement
nouveau
"Horologiom" par Fabrice Lebeault ditions Delcourt
30
HOROLOGIOM 01_INTcs3.indd 30HOROLOGIOM 01_INTcs3.indd 30 19/07/11 15:27:4519/07/11 15:27:45
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
19
a) traitement licite, loyal et transparent
1/6
P
hilip
pe G
auck
ler 2
016
les 6 conditions de collecte
et de traitement
art.5.1
b) finalit de traitement
dtermine, explicite et
lgitime
2/6
d) donnes exactes
et, si ncessaire, tenues jour
4/6
e) dure de
conservation des donnes
limite
5/6
la plupart des conditions de traitement ne sont pas nouvelles
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
ditio
ns D
elco
urt
14
HOROLOGIOM 02_INTcs3.indd 14 HOROLOGIOM 02_INTcs3.indd 1419/07/11 15:39:01 19/07/11 15:39:01
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
20
P
hilip
pe G
auck
ler 2
016
les 6 conditions de collecte
et de traitement
art.5.1 c'est le principe de "minimisation"
c) donnes adquates,
pertinentes et limites
3/6
doivent tre adquates, pertinentes et limites ce qui est ncessaire
au regard des finalits
pour lesquelles elles sont traites.
QUI ?dire
ctem
ent
indirectem
ent
donnes [personnelles][art.4.1]
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
ditio
ns D
elco
urt
9
HOROLOGIOM 03_INTcs3.indd 9HOROLOGIOM 03_INTcs3.indd 9 20/07/11 11:08:2720/07/11 11:08:27
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
21
f) garantie de scurit des
donnes
6/6
nouveau
P
hilip
pe G
auck
ler 2
016
les 6 conditions de collecte
et de traitement
art.5.1prparez vous la grande
nouveaut de la GRDP : L'obligation de scurit
des donNes"Horologiom" par Fabrice Lebeault ditions Delcourt
MESURES
APPROPRIES
[art.32]
SCU
RIT
tech
niqu
es
orga
nisa
tionn
elle
s faille - fuite
SCURIT
Rglement "RGDP"
Data Protection n2016/679
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
PRINCIPE ET
CONDITIONS DE VALIDIT
donn
es
[per
sonn
elle
s]
traitement
[art.4.2]
Ledieu-Avocats2017
31
HOROLOGIOM 02_INTcs3.indd 31HOROLOGIOM 02_INTcs3.indd 31 19/07/11 15:42:2219/07/11 15:42:22
"Horologiom" par Fabrice Lebeault ditions Delcourt
http://www.ledieu-avocats.fr
RGLEMENT UE 2016/679
DONNES PERSONNELLES
art. 5 - 1
[art.4.7]
responsable
de traitement
39
HOROLOGIOM 04_INTcs3.indd 39HOROLOGIOM 04_INTcs3.indd 39 19/07/11 16:10:4219/07/11 16:10:42
le principe de responsabilit
du responsable du traitement
"GRDP" 2016/679 donnes
personnelles
23
"Horologiom" par Fabrice Lebeault ditions Delcourt
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
LE PRINCIPE DE RESPONSABILIT
http://www.ledieu-avocats.fr
est responsable du respect
des 6 conditions de collecte et de
traitement.
[doit tre] en mesure
de dmontrer qu'il respecte
les 6 conditions de collecte et de traitement.
RGLEMENT UE 2016/679
DONNES PERSONNELLES
et
art. 5 - 1
[art.4.7]
le responsable
de traitement
39
HOROLOGIOM 04_INTcs3.indd 39HOROLOGIOM 04_INTcs3.indd 39 19/07/11 16:10:4219/07/11 16:10:42
le principe de responsabilit
du responsable du traitement
art.5.2
art.5.1
art.5.1
"GRDP" 2016/679 donnes
personnelles
24Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
a donn sonest en
mesure de dmontrer
que [art.4.7]
le responsable
de traitementconcerne
la personne
consentement
?traitement
[art.4.2]42
HOROLOGIOM 05_INTcs3.indd 42HOROLOGIOM 05_INTcs3.indd 42 19/07/11 16:20:4919/07/11 16:20:49
et si "le traitement repose
sur le consentement" ?
"GRDP" 2016/679 donnes
personnelles
art.7.1
au
25Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
38
HOROLOGIOM 03_INTcs3.indd 38HOROLOGIOM 03_INTcs3.indd 38 20/07/11 11:12:4520/07/11 11:12:45
c'est celui qui traite des
donnes de prouver qu'il respecte la GRDP.
[art.4.7]
responsable
de traitements26
Ledieu-Avocats2017
CHARGE DE LA PREUVE
"GRDP" 2016/679 donnes
personnelles
LE PRINCIPE DE RESPONSABILIT
"Horologiom" par Fabrice Lebeault ditions Delcourt
27
39
HOROLOGIOM 03_INTcs3.indd 39HOROLOGIOM 03_INTcs3.indd 39 20/07/11 11:12:5320/07/11 11:12:53
27Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnellesvous n'tes pas
encore convaincu(e) ?
LES GARANTIES DE RESPECT
DES OBLIGATIONS DE LA "GRDP"
LE PRINCIPE DE RESPONSABILIT
"Horologiom" par Fabrice Lebeault ditions Delcourt
34
HOROLOGIOM 02_INTcs3.indd 34HOROLOGIOM 02_INTcs3.indd 34 19/07/11 15:43:0419/07/11 15:43:04
! ! ! ! Rglement
Data Protection n2016/679
LES GARANTIES DE RESPECT
DES OBLIGATIONS DE LA "GRDP"
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
28
compliant
GRDP
MESURES
APPROPRIESte
chni
ques
or
gani
satio
nnel
les[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
http://www.ledieu-avocats.fr
15
HOROLOGIOM 05_INTcs3.indd 15HOROLOGIOM 05_INTcs3.indd 15 19/07/11 16:17:2019/07/11 16:17:20
Rglement "Data Protection"
n2016/679
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
29
"Horologiom" par Fabrice Lebeault ditions Delcourt
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s
[art. 24]
CON
FORM
IT
http://www.ledieu-avocats.fr
23
HOROLOGIOM 02_INTcs3.indd 23HOROLOGIOM 02_INTcs3.indd 23 19/07/11 15:40:4719/07/11 15:40:47
attention de ne pas
confondre
"GRDP" 2016/679 donnes
personnelles
30Ledieu-Avocats2017
garanties de respect
garanties de scurit
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT MESURES
APPROPRIES
[art.32]
SCU
RIT
tech
niqu
es
orga
nisa
tionn
elle
s
"Horologiom" par Fabrice Lebeault ditions Delcourt
"GRDP" 2016/679 donnes
personnelles
31
20
HOROLOGIOM 01_INTcs3.indd 20HOROLOGIOM 01_INTcs3.indd 20 19/07/11 15:25:5719/07/11 15:25:57
COMPTE TENU : DE LA NATURE DE LA PORTE DU CONTEXTE DES FINALITS DU TRAITEMENT DES RISQUES DONT LE DEGR DE PROBABILIT
ET DE GRAVIT VARIE POUR LES DROITS ET LIBERTS DES PERSONNES PHYSIQUES
COMPTE TENU : DE L'TAT DES CONNAISSANCES, DES COTS DE MISE EN UVRE DE LA NATURE DE LA PORTE DU CONTEXTE DES FINALITS DU TRAITEMENT DES RISQUES DONT LE DEGR DE PROBABILIT
ET DE GRAVIT VARIE POUR LES DROITS ET LIBERTS DES PERSONNES PHYSIQUES
"GRDP" 2016/679 donnes
personnelles
31Ledieu-Avocats2017
[art.4.7]
responsable
detraitement
sous-traitant
[art.4.8]
[art.4.7]
responsable
detraitement
garanties de respect
garanties de scurit
art.24
art.32
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
ditio
ns D
elco
urt
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s
CON
FORM
IT
MESURES
APPROPRIES
SCU
RIT
tech
niqu
es
orga
nisa
tionn
elle
s
31
HOROLOGIOM 03_INTcs3.indd 31HOROLOGIOM 03_INTcs3.indd 31 20/07/11 11:11:4420/07/11 11:11:44
OUI JE SAIS, C'EST COMPLIQU JE VOUS SENS UN PEU PERDU ALORS COMmENONS PAR
LES GARANTIES DE CONFORMIT
32
Ledieu-Avocats2017"GRDP"
2016/679 donnes
personnelles
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
"GRDP" 2016/679 donnes
personnelles
33
20
HOROLOGIOM 01_INTcs3.indd 20HOROLOGIOM 01_INTcs3.indd 20 19/07/11 15:25:5719/07/11 15:25:57
[art.4.7]
le responsable
de traitement
pour s'assurer d
onn
es
[per
sonn
elle
s]
traitement[art.4.2]
met en uvre
COMPTE TENU : DE LA NATURE DE LA PORTE DU CONTEXTE DES FINALITS DU TRAITEMENT DES RISQUES DONT LE DEGR DE PROBABILIT
ET DE GRAVIT VARIE POUR LES DROITS ET LIBERTS DES PERSONNES PHYSIQUES
et tre en mesure
de dmontrer que
est effectu conformment la GRDP
"GRDP" 2016/679 donnes
personnelles
33Ledieu-Avocats2017
seulement
art.24
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
ditio
ns D
elco
urt
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
38
HOROLOGIOM 03_INTcs3.indd 38HOROLOGIOM 03_INTcs3.indd 38 20/07/11 11:12:4520/07/11 11:12:45
34Ledieu-Avocats2017
"Lorsque cela est proportionN
au regard des activits de traitement"
[art.4.7]
du responsable
de traitement
de politiques
appropries en matire de protection QUI ?d
irectem
ent
indirectem
ent
donnes [personnelles]
[art.4.1]
privacy policy faire accepter par l'internaute
"GRDP" 2016/679 donnes
personnelles
art.24.2
comprennent la mise en
uvre
compliant
GRDP
MESURES
APPROPRIESte
chni
ques
or
gani
satio
nnel
les[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
13
HOROLOGIOM 02_INTcs3.indd 13HOROLOGIOM 02_INTcs3.indd 1319/07/11 15:38:5019/07/11 15:38:50
et si on disait les choses clairement ?
P
hilip
pe G
auck
ler 2
016
A dfaut de disposer de
"privacy policy" publique
le prestataire ne
sera pas prsum respecter la
GRDP
"GRDP" 2016/679 donnes
personnelles
35Ledieu-Avocats2017
soyons fous ! compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
"GRDP" 2016/679 donnes
personnelles
36
certification labe
l
code de conduire
[art.42][art.40]
art.24.3
19
HOROLOGIOM 02_INTcs3.indd 19HOROLOGIOM 02_INTcs3.indd 19 19/07/11 15:39:5819/07/11 15:39:58
le responsable du traitement est prsum agir en conformit avec la GRDP s'il respecte un code de conduite
ou un programme de certification.
[art.4.7]
le responsable
de traitement
peut dmontrer
qu'il respecte la GRDP
en cas d'application
de
Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
25
HOROLOGIOM 02_INTcs3.indd 25HOROLOGIOM 02_INTcs3.indd 25 19/07/11 15:41:1519/07/11 15:41:15
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
37
"Privacy by
default"
"Privacy by
design" ?
"Horologiom" par Fabrice Lebeault ditions Delcourt
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
38
HOROLOGIOM 03_INTcs3.indd 41HOROLOGIOM 03_INTcs3.indd 41 20/07/11 11:13:1520/07/11 11:13:15
"privacy by design"
le (logiciel de) traitement des donnes [personnelles]
a t conu dans le respect des rgles de la GRDP.
"Horologiom" par Fabrice Lebeault ditions Delcourt
COMPTE TENU : DE L'TAT DES CONNAISSANCES DES COTS DE MISE EN UVRE DE LA NATURE DE LA PORTE DU CONTEXTE DES FINALITS DU TRAITEMENT DES RISQUES DONT LE DEGR DE PROBABILIT
ET DE GRAVIT VARIE POUR LES DROITS ET LIBERTS DES PERSONNES PHYSIQUES
[art.4.7]
le responsable
de traitement
met en uvre
au moment de la dtermination
des moyens du traitement
seulement
"GRDP" 2016/679 donnes
personnelles
au moment du traitement
lui-mme
et
37
HOROLOGIOM 02_INTcs3.indd 37HOROLOGIOM 02_INTcs3.indd 37 19/07/11 15:43:4119/07/11 15:43:41
!39
"privacy by design"
art.25.1
1/2
compliant
GRDP
MESURES
APPROPRIESte
chni
ques
or
gani
satio
nnel
les[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
Ledieu-Avocats2017
[art.4.7]
le responsable
de traitement
compliant
GRDP
tech
niqu
es
des MESURES
APPROPRIES
orga
nisa
tionn
elle
s[art. 24]
met en uvre
pour appliquer
"de faon effective" les principes
de protection des donnes
seulement
pseudonymisation des donnes
minimisation des donnes
afin de rpondre aux exigences de la GRDP
37
HOROLOGIOM 02_INTcs3.indd 37HOROLOGIOM 02_INTcs3.indd 37 19/07/11 15:43:4119/07/11 15:43:41
!40
"privacy by design"
art.25.1
2/2
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
Ledieu-Avocats2017
"Horologiom" par Fabrice Lebeault ditions Delcourt
31
HOROLOGIOM 04_INTcs3.indd 31HOROLOGIOM 04_INTcs3.indd 31 19/07/11 16:08:4619/07/11 16:08:46
on regarde quand mme les dfinitions de la pseudonymisation et du concept
de "minimisation ?
la "pseudonymisation" art.4.5
le principe de "minimisation"
art.5.1.c)
"GRDP" 2016/679 donnes
personnelles
Ledieu-Avocats2017 41
"Horologiom" par Fabrice Lebeault ditions Delcourt
18
HOROLOGIOM 01_INTcs3.indd 18HOROLOGIOM 01_INTcs3.indd 18 19/07/11 15:25:3919/07/11 15:25:39
LA "PSEUDONYMISATION"
DES DONnES ?
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
42
le traitement de donnes [personnelles] de telle faon que celles-ci ne puissent plus tre attribues une personne
concerne prcise sans avoir recours des informations
supplmentaires
pour autant que ces informations supplmentaires soient
conserves sparment et soumises des mesures
techniques et organisationnelles
afin de garantir que les donnes [personnelles] ne sont pas attribues une personne
physique identifie ou identifiable
art.4.5
"Horologiom" par Fabrice Lebeault ditions Delcourt
20
HOROLOGIOM 01_INTcs3.indd 20HOROLOGIOM 01_INTcs3.indd 20 19/07/11 15:25:5719/07/11 15:25:57
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
43
"Horologiom" par Fabrice Lebeault ditions Delcourt
35
HOROLOGIOM 03_INTcs3.indd 35HOROLOGIOM 03_INTcs3.indd 35 20/07/11 11:12:1820/07/11 11:12:18
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
44
M. Donald Truc = ID 12.693 = data1 + data2 + data3 + etc.
Mme Bidule = ID 7.242 = data1 + data2 + data3 + etc.
QUI ?dire
ctem
ent
indirectem
ent
donnes [personnelles]
[art.4.1]
[mta]donnesquand ? depuis o ?
com
bien
de
tem
ps ?
quel n tel ? quelle adresse IP ?
type
de
term
inal
?
n identifiant de corrlation
B CA
Si j'ai accs A+B+C,
je fais un
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
ditio
ns D
elco
urt
donn
es
[per
sonn
elle
s
traitement[art.4.2]
+ +
P
hilip
pe G
auck
ler 2
016
c'est un problme de
croisement de bases de donnes
la "pseudonymisation" art.4.5
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
45
47
HOROLOGIOM 01_INTcs3.indd 47HOROLOGIOM 01_INTcs3.indd 47 19/07/11 15:30:5719/07/11 15:30:57
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
di
tions
Del
cour
t
Si moi, prestataire, je n'ai accs qu' B+C,
je traite seulement des donnes pseudonymises
M. Donald Truc = ID 12.693 = data1 + data2 + data3 + etc.
Mme Bidule = ID 7.242 = data1 + data2 + data3 + etc.
QUI ?dire
ctem
ent
indirectem
ent
donnes [personnelles]
[art.4.1]
[mta]donnesquand ? depuis o ?
com
bien
de
tem
ps ?
quel n tel ? quelle adresse IP ?
type
de
term
inal
?
A B C
n identifiant de corrlation
la "pseudonymisation" art.4.5
11
HOROLOGIOM 03_INTcs3.indd 11HOROLOGIOM 03_INTcs3.indd 11 20/07/11 11:08:4820/07/11 11:08:48
le principe de "minimisation" des donnes ?
"GRDP" 2016/679 donnes
personnelles
46
QUI ?dire
ctem
ent
indirectem
ent
les donnes [personnelles]
[art.4.1]
doivent tre (i) adquates,
(ii) pertinentes et (iii) limites
ce qui est ncessaire au regard des finalits du
traitement
Ledieu-Avocats2017
le principe de "minimisation"
art.5.1.c)
"Horologiom" par Fabrice Lebeault ditions Delcourt
33
HOROLOGIOM 01_INTcs3.indd 33HOROLOGIOM 01_INTcs3.indd 33 19/07/11 15:28:1519/07/11 15:28:15
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
47
le prestataire
a l'obligation
de ne collecter
qu'une quantit "pertinente" de donnes
pour rendre son service. PAS PLUS
le principe de "minimisation"
art.5.1.c)
"Horologiom" par Fabrice Lebeault ditions Delcourt
18
HOROLOGIOM 02_INTcs3.indd 18HOROLOGIOM 02_INTcs3.indd 18 19/07/11 15:39:4719/07/11 15:39:47
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles"Privacy by default" ?
48"Horologiom" par Fabrice Lebeault
ditions Delcourt
privacy by design
privacy by default
18
HOROLOGIOM 02_INTcs3.indd 18HOROLOGIOM 02_INTcs3.indd 18 19/07/11 15:39:4719/07/11 15:39:47
"GRDP" 2016/679 donnes
personnelles
49
"Privacy by default"
49
[art.4.7]
le responsable
de traitement
met en uvre
pour garantir que, par dfaut
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt Ledieu-Avocats2017
24
HOROLOGIOM 03_INTcs3.indd 24HOROLOGIOM 03_INTcs3.indd 24 20/07/11 11:10:4620/07/11 11:10:46
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
"Privacy by default" ?
ncessaires au regard de
chaque finalit spcifique
du traitement
50
le principe
QUI ?
directem
ent
indirectem
ent
les donnes [personnelles]
[art.4.1]
pour garantir que, par dfaut, seules sont
traites compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
30
HOROLOGIOM 01_INTcs3.indd 30HOROLOGIOM 01_INTcs3.indd 30 19/07/11 15:27:4519/07/11 15:27:45
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
51
"Privacy by default" ?
ncessaires au regard de
chaque finalit spcifique
du traitement
quantit de donnes
[personnelles] collectes
tendue de leur
traitement
leur dure de conservation
leur accessibilit
le dtail
"GRDP" 2016/679 donnes
personnelles
pour garantir que, par dfaut, seules sont
traites QUI ?
directem
ent
indirectem
ent
les donnes [personnelles]
[art.4.1]
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
19
HOROLOGIOM 02_INTcs3.indd 19HOROLOGIOM 02_INTcs3.indd 19 19/07/11 15:39:5819/07/11 15:39:58
"Privacy by default" ?
ben en fait, a veut dire que tous les traitements doivent respecter les principes de la GRDP.
Mme ceux qui n'avaient pas prvus ces contraintes juridiques
"GRDP" 2016/679 donnes
personnelles
Ledieu-Avocats2017 52
"Horologiom" par Fabrice Lebeault ditions Delcourt
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
53
23
HOROLOGIOM 02_INTcs3.indd 23 HOROLOGIOM 02_INTcs3.indd 2319/07/11 15:40:47 19/07/11 15:40:47
vous avez remarqu dans le "Privacy by default" ?
Y'a pas le gros pav avec son inventaire la prvert
comMe pour le "Privacy by design" ?
COMPTE TENU : DE L'TAT DES CONNAISSANCES, DES COTS DE MISE EN UVRE DE LA NATURE DE LA PORTE DU CONTEXTE DES FINALITS DU TRAITEMENT DES RISQUES DONT LE DEGR DE PROBABILIT
ET DE GRAVIT VARIE POUR LES DROITS ET LIBERTS DES PERSONNES PHYSIQUES
"Privacy by default"
[art. 25.2]
[art. 25.1]
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
31
HOROLOGIOM 01_INTcs3.indd 31HOROLOGIOM 01_INTcs3.indd 31 19/07/11 15:27:5519/07/11 15:27:55
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
54
"Privacy by default" ?
QUI ?
directem
ent
indirectem
ent
les donnes [personnelles]
[art.4.1] ne sont pas rendues accessibles
un nombre indtermin de
personnes
sans l'intervention de la personne
physique concerne
la prcision qui tue
garantissent que, par dfaut,
en particulier
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"Horologiom" par Fabrice Lebeault ditions Delcourt
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
55
"Privacy by default" ?
QUI ?
directem
ent
indirectem
ent
les donnes [personnelles]
[art.4.1] ne sont pas rendues accessibles
un nombre indtermin de
personnes
sans l'intervention de
la personne physique
concerne
P
hilip
pe G
auck
ler 2
016
intervention ? = consentement ?
P
hilip
pe G
auck
ler 2
016
mes donnes personnelles ne sont pas diffuses
sur Facebook sans mon "intervention" ?
PAR DEFAUT et la charge du prestataire ?
garantissent que, par dfaut,
en particulier
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
"GRDP" 2016/679 donnes
personnelles
56
art.25.3
19
HOROLOGIOM 02_INTcs3.indd 19HOROLOGIOM 02_INTcs3.indd 19 19/07/11 15:39:5819/07/11 15:39:58
a veut dire - ici aussi -
que le responsable du traitement
est prsum agir en conformit avec la GRDP s'il a mis en place
un programme de certification.
[art.4.7]
le responsable
de traitement
peut dmontrer
qu'il respecte la GRDP si
Ledieu-Avocats2017
certification
[art.42]
"Privacy by design"
"Privacy by default"
Philippe Gauckler 2016
mais PAS un code de conduite
"Horologiom" par Fabrice Lebeault ditions Delcourt
23
HOROLOGIOM 01_INTcs3.indd 23HOROLOGIOM 01_INTcs3.indd 23 19/07/11 15:26:2319/07/11 15:26:23
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s[art. 24]
CON
FORM
IT
RESPONSABILIT
[art.4.7]
responsable
de traitements
Ledieu-Avocats2017
"GRDP" 2016/679 donnes
personnelles
57
"Hor
olog
iom
" par
Fab
rice
Lebe
ault
ditio
ns D
elco
urt
Rglement "Data Protection"
n2016/679
Marc-AntoineLedieuAvocatlaCour
www.ledieu-avocats.fr
compliant
GRDP
MESURES
APPROPRIES
tech
niqu
es
orga
nisa
tionn
elle
s
[art. 24]
CON
FORM
IT
32
HOROLOGIOM 01_INTcs3.indd 32HOROLOGIOM 01_INTcs3.indd 32 19/07/11 15:28:0519/07/11 15:28:05
RESPONSABILIT
[art.4.7]
responsable
de traitements
"Horologiom" par Fabrice Lebeault ditions Delcourt
http://www.ledieu-avocats.fr
16
HOROLOGIOM 05_INTcs3.indd 16HOROLOGIOM 05_INTcs3.indd 16 20/07/11 10:08:2620/07/11 10:08:26
un trs grand merci Sbastien LE FOLL et
Lucie MASSENA des ditions Delcourt
"Horologiom" 7 tomes par Fabrice Lebeault
ditions Delcourt 1994 2014
"Horologiom" par Fabrice Lebeault ditions Delcourt
59
Ledieu-Avocats2017
un immense merci Fabrice Lebeault
pour son autorisation de dtourner les phylactres
originaux
"Horologiom" 7 tomes par Fabrice Lebeault
ditions Delcourt 1994 2014
cycle 2
60
Fabrice Lebeault c'est aussi :
L'AUTEUR
BIBLIOGRAPHIE SUR www.bedetheque.com/
61
http://www.bedetheque.com/
les ditions ce sont aussi :
62
MERCI PHILIPPE GAUCKLER
P
hilip
pe G
auck
ler 2
016
transformer un moustachu en jolie brune, fallait oser.
Il a os
nouveau
63