Bref, j’ai décidé de me mettre en conformité avec leNouveau Règlement sur la Protection des Données…

–#legdprestpartout

Stéphane Baïkoff & Mael Fablet

Traitements de données personnelles,de quoi parle t-on ?

Traitementsde donnéesclassiques

d’uneentreprise

RH

Clients/Prospects

Fournisseurs

Autres(visiteurs

etc.)

EXEMPLES DE DONNEES PERSONNELLES► nom/ prénom, adresse et coordonnées (téléphone, email etc.)► statut marital, informations relatives aux enfants (nom, âge, nombre etc.)► numéro de client, de carte, de finalité► données bancaires► images/ films / vidéosurveillance, enregistrements téléphoniques► tendances d’achat, historique des paniers, préférences► données de connexion (login, identifiants, mots de passe), cookies, historique de navigation,

adresse IP► coordonnées GPS► numéro de sécurité sociale► données relatives aux opinions religieuses, syndicales, politiques ou à l’orientation sexuelle,

données relatives à la santé du client► numéro de badge / logs de passage en badgeuse► données biométriques (empreintes digitales, iris, mensurations etc.)► plaque d’immatriculation► données relatives à des infractions (notamment routières)► données relatives à la santé (pathologie, maladie, blessure etc.)

Prise en compte nécessaire de laprotection des données personnelles

Règlementation stricte

► Sanctions pénales (5 ans d’emprisonnementet 1 500 000 € d’amende) et sanctions CNIL(sanctions pécuniaires jusqu’à 300 000 € - en casde récidive / injonction de cesser l’utilisation d’untraitement / mesure de publicité)

► Loi pour une République Numérique : montantmaximal de la sanction pécuniaire CNIL jusqu’à 3millions d’euros

► Allemagne : Sanctions pénales (2 ansd’emprisonnement et amende) et sanctionsadministratives (pécuniaires jusqu’à 300 000 € /interdiction de mise en œuvre du traitement…)

► Espagne : Sanctions pénales (4 ansd’emprisonnement et amende) et sanctionsadministratives (pécuniaires jusqu’à 600 000 € /interdiction de mise en œuvre du traitement…)

Augmentationdu volume

de donnéestraitées

Nécessaireadaptationdu cadre

règlementaireaux nouvelles

pratiques

Des donnéescollectées de plusen plus précises

(profilage)

Dispositionsexistantes

plus adaptéesà l’évolution

technologique

Nécessitéde garantir

la protectiondes données

et la vie privée

Data

Réforme du cadre règlementaire : le GDPR

►Objectif de la réforme : refonte de l’ensemble du cadre juridique européen issude la Directive 95-46 du 24 octobre 1995

►Application directe du GDPR dans tous les Etats membres de l’UE

► Calendrier de mise en œuvre du GDPR

Ñ Extension du champ d’application

Matériel Territorial

► Traitements de données personnelles► Personne physique► Exclusion des activités personnelles

► Etablissement du Responsable deTraitement (RT) ou sous-traitant (ST) en UE

► RT ou ST non établi en UE► Offre de biens ou services destinée à des personnes dans

UE

14 Avril 2016Adoption du GDPR

par les Etats membres

2017Développement

d’un plan d’action ?

25 Mai 2018Entrée en vigueur

du GDPR

I. Les nouvelles obligations du GDPR1. Les acteurs

► Personne physique ou morale, autoritépublique, service ou autre organisme

► Seul ou conjointement avec d'autres

► Détermine les finalités et les moyens dutraitement

► Personne physique ou morale, autorité publique,service ou autre organisme

► Traite des données à caractère personnel pourle compte du responsable du traitement

Responsablede traitement

Sous-traitant

► Responsable de l’ensemble des obligationsmises à sa charge par le GDPR

► Responsable du dommage causé par letraitement

► Toute personne ayant subi un dommage adroit à réparation du fait d’une violation duGDPR

► Responsable du dommage causé par letraitement uniquement s’il n’a pas respectéses obligations ou a agi en dehors desinstructions du RT

A - IDENTIFICATION DES PRINCIPAUX ACTEURS ► RÉPARTITION DES RESPONSABILITÉS

I. Les nouvelles obligations du GDPR1. Les acteurs

B - DÉSIGNATION D’UN DATA PRIVACY OFFICER ?

Désignation obligatoire

► Autorité ou entité publique

► Activités principales quiimpliquent des traitementsinduisant un « suivi régulieret systématique despersonnes à grande échelle »

► Traitements « à grandeéchelle des catégoriesparticulières de données(données sensibles…) et desdonnées relatives à descondamnations etinfractions »

Modalités

► DPO unique au niveau dugroupe

► Personnel ou prestataireexterne (contrat)

Missions

► Informer et conseiller

► Contrôler la conformité despratiques internes(sensibilisation et formationdu personnel, audit…)

► Superviser la réalisation desPIA

► Point de contact avec lesautorités

► Indépendance

► Absence de conflitsd’intérêts

► Secret professionnel /obligation de confidentialité

Fonction

I. Les nouvelles obligations du GDPR2. La responsabilisation des acteurs

► Allègement des formalités préalables► Suppression des déclarations

► Régime spécifique de demande d’autorisationmaintenu pour certains transferts hors UE

► Régime de consultation préalable défini pourcertains traitements

► Accountability► Obligation de recenser les traitements

A - RESPONSABILISATION DES ACTEURS

I. Les nouvelles obligations du GDPR- modèle de registre proposé par la CNIL -B - LE REGISTRE DES TRAITEMENTS

I. Les nouvelles obligations du GDPR2. La responsabilisation des acteurs

►Obligatoire pour les traitements susceptibles d’engendrer un «risqueélevé pour les droits et libertés», et en particulier s’il y a :

► Profilage,► Traitement à grande échelle de données sensibles,► Surveillance systématique et à grande échelle de zones accessibles au public.

►Les Autorités de protection des données peuvent déterminer lescatégories de traitements nécessitant une étude d’impact.

►Consultation de l’Autorité de protection des données obligatoire sil’analyse d’impact confirme un « risque élevé ».

C - ANALYSE D’IMPACT (« PRIVACY IMPACT ASSESSMENT - PIA »)

I. Les nouvelles obligations du GDPR2. La responsabilisation des acteurs

E - Notification des violations de sécurité

D - Privacy by Design Privacy by Default

► Conception des services tenant compte du respect de la vieprivée

► Respect du principe de minimisation des données et delimitation des finalités

► Haut standard de sécurité depuis la conception

► Documentation des mesures techniques et opérationnelles

► Mise en œuvre des mesures techniques et organisationnellespour garantir que par défaut, seules les donnéespersonnelles nécessaires à la finalité du traitement sonttraitées (ex. quantité, accès limité aux seules personnes yayant intérêt, etc.)

► Documentation des mesures techniques et opérationnelles

Responsable de traitement Sous-traitant

► Obligation de notification étendue à l’ensemble des RT

► Contenu notification (catégories de données concernées,conséquences, mesures prises)

► Obligation d’alerter les individus si haut risque pour les droitset les libertés de l’individu (sauf mesures de protectionappropriées prises)

► Obligation d’alerter et d’informer le RT de l’existence d’uneviolation de sécurité

I. Les nouvelles obligations du GDPR3. L’obligation de sécurité du traitement

OBLIGATION DE SÉCURITÉ DU TRAITEMENT

Ñ Obligation à la charge du Responsable du traitement et du sous-traitantÑ Mise en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté

au risque

Critèresd’appréciation

des mesures

Catégoriesde mesures

Etat des connaissances et coûtsde mise en œuvre

Nature, portée, contexte, finalitédu traitement

Risques présentés par letraitement (degré de probabilité etde gravité) résultant de ladestruction, perte, altération,divulgation, accès non autorisé auxdonnées

Pseudonymisation / chiffrementdes données

Moyens permettant de garantir laconfidentialité des systèmes detraitement…

Procédure d’évaluation régulièredes mesures de sécurité

Moyens permettant de rétablir ladisponibilité / accès aux donnéesen cas d’incident physique outechnique

Pseudonymisation

► Les données ne peuvent plus être attribuées àun individu sans avoir recours à desinformations supplémentaires conservées demanière séparée afin de garantir qu’il ne soitplus identifié ou identifiable

► RÉVERSIBLE

► Technique consistant à supprimer toutcaractère identifiant à un ensemble de données

► IRRÉVERSIBLE

Anonymisation

I. Les nouvelles obligations du GDPR4. La gestion des transferts hors UE

RÉGIME DES TRANSFERTS

► Restriction des transfertsde données

► Le GDPR autorise lestransferts de données versdes pays dont le régimefournit un niveau adéquatde protection des donnéespersonnelles.

► A défaut, il fautdes garanties adéquates

Dérogations limitées (consentement, exécution d’un contrat…)

Instrument juridiquement contraignant et exécutoire entre les autorités ouorganismes publics

Binding Corporate Rules («BCR»)

Clauses contractuelles standard adoptées par la Commission européenne

Clauses contractuelles standard adoptées par une autorité de contrôleet approuvées par la Commission

Code de conduite approuvé

Mécanisme de certification

II. Evolution des droits despersonnes avec le GDPR1. Les droits existants renforcés

Définition précisée (libre,spécifique et éclairée, univoque)

Preuve à charge du RT

Consentement des enfants(autorisation parentale,« raisonnables efforts »de vérification)

Mentions supplémentaires(intérêt légitime du RT, droit deretirer son consentement,existence d’une décisionautomatisée, etc.)

Renforcement

Activités de marketing

Profilage

Précisionde son champ d’application

ConsentementInformation

despersonnes

Droitd’accès

Droitsd’opposition

II. Evolution des droits des personnesavec le GDPR3. La création de nouveaux droitsNOUVEAUX DROITS

Droit àl’effacement

(droit àl’oubli)

► Droit d’obtenir l’effacement de ses données dans les meilleurs délais► Conditions : données plus nécessaires, retrait du consentement, opposition au traitement…► Exceptions : liberté d’expression et d’information, obligation légale…

Droità la limitation

dutraitement

► Contestation exactitude des données► Traitement illicite et la personne préfère une limitation à un effacement► Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale…)

Droità la portabilitédes données

► Extension du droit d’accès (données fournies à un RT)► Interopérabilité (format structuré, couramment utilisé et lisible par machine)► Transfert (à un autre RT)► Restrictions (traitement de données automatisés,…)

III. Outils de mise en conformité

► Codes de conduite► Elaborés par des associations ou entités représentatives des RT/ST► Approuvés par les Autorités► Adhésion facultative, mais valeur contraignante► Contrôle du respect des codes par un organisme accrédité par l’Autorité

► Certifications, labels et marques de protection des données :► Accordés par des organismes accrédités par les Autorités pour 3 ans, au plus, renouvelables► Création de labels européens (« European Data Protection Seal »)► Registre public tenu par le CEPD (Comité Européen de Protection des Données)

► Inconvénient► Cadre juridique pas intégralement finalisé : attente acte délégué/acte d’exécution► Absence de recul opérationnel

NOUVEAUX OUTILS DE MISE EN CONFORMITÉ

GDPR en France UE

► Rappel : pouvoirs de contrôle de la CNIL

► Contrôle sur place;

► Contrôle sur pièces;

► Contrôle sur convocation;

► Contrôle en ligne.

► Rappel : pouvoirs des autorités de contrôle

► Pouvoirs de contrôle (enquête)

► Mener des enquêtes sous forme d’audit

► Procéder à un examen des certifications

► Accéder aux informations et aux locaux du RT et duST…

► Pouvoir d’ester en justice

► Mécanisme de coopération et d’autorité chef de file

► Comité européen de la protection des données

► Pouvoirs de sanctions

► Renforcement des sanctions administratives :

► Jusqu’à 20 m€ ou 4 % du CA annuel global ;

► Simple avertissement.

► Sanction pénale applicable selon la législationnationale

► Sanctions :

► Sanctions administratives - ex. sanctions financières pécuniairesjusqu’à 3 000 000 € (loi pour une République Numérique) ;

► Sanctions pénales ;

► Risque d’image / commercial ;

► Risque de contentieux social / commercial.

IV. Sanctions

V. Par où commencer?

Recenser sestraitements

Etablir sonregistre

Se mettre enconformité

(cadre actuel)

Déployer lesoutils (mentionsd’informations,

contrats ST)

DPO?

Stéphane BAÏKOFF – Mael FABLET