[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

Digital Analytics Forum

RGPD 2018 : êtes-vous prêt ?

1

Clémence SCOTTEZ

Chef du service des Affaires Economiques

Quels enjeux ?

• Individu pris dans un

maillage extrêmement

fin d’informations

personnelles relayées par

des objets de plus en

plus communicants

• implique une

pondération des intérêts

=> a priori par des

débats de société et a

postériori par le

législateur et les juges

220181109-DAF - AT Internet

Contexte

3

➢ L’univers numérique est construit sur les données personnelles,

c’est-à-dire sur les données relatives aux individus

➢ Mais => défiance croissante des individus

➢ En quelque temps, la promesse de libération de l’individu et

« d’empowerment » de celui-ci par le numérique a donc fait place à

un sentiment d’impuissance et de défiance

Enjeu : remettre l’individu au cœur d’un univers numérique dans

lequel il a tendance à être marginalisé

20181109-DAF - AT INTERNET

Article 1er de la loi « Informatique et Libertés »

➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de l’homme et des libertés individuelles et publiques face à l’avènement de

l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation, datamining, multiplication des décisions automatiques ou semi-

automatiques…)


6

Qu’est ce qui est concerné ?

Exemples de ré-identification

7

➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L :

« Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se

tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien »

➢ Massachusetts : croisement d'une base de données médicale

« pseudonymisée » et une liste électorale avec des données

nominatives.

➢ Etude réalisée par des chercheurs du MIT : une base de données

d’horodatage des antennes-relais (GSM) considérée a priori

comme anonyme permet d’identifier près de 90 % des personnes


Les 4 grands axes du RGPD

8

Affirmation de la maîtrise des personnes sur leurs

propres données

Responsabilisation des organismes (du privé

comme du public)

Renforcement des pouvoirs de sanction

Vers un marché commun unifié


Axe 1 : La maîtrise des personnes

sur leurs données personnelles

9 20181109-DAF - AT INTERNET

Renforcement global des droits (aperçu)

10

Le renforcement des droits existants

Les nouveaux droits

• obligation générale de faciliter l’exercice des droits (fourniture d’une information

claire, intelligible et aisément accessible)

• information renforcée (ex. transferts hors de l’UE, source des données, durée de

conservation)

• droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une

« CNIL »)

• droit à l’effacement et à l’oubli numérique confirmé

• la portabilité des données

• la limitation du traitement

• conditions particulières pour le traitement des données des enfants


Rappel : les consentements


Les

do

nn

ées

pers

on

nell

es

• Licéité du

traitement

(art. 6 GDPR)

• Accord

parental pour

les mineurs

(art. 8 GDPR)

• Données

sensibles (art.

9 GDPR)

Les

traceu

rs

•Consentement

au dépôt ou à la

lecture

d’informations

sur le terminal

ou

consentement

« cookies » (art.

32.II de la LIL et

directive

ePrivacy)

La p

rosp

ecti

on

par

vo

ie

éle

ctr

on

iqu

e• Consentement

à la

prospection

par voie

électronique

(email, fax,

SMS) – (Article

L.34-5 du code

des postes et

des

communication

s électroniques

et directive

ePrivacy)

11

Axe 2 : Responsabilisation des professionnels

12

L e s o u s - t r a i t a n t

• obligations propres en matière de sécurité, de confidentialité et en matière d’accountability

• autorisation du RT pour recruter un ST

• tenue d’un registre

• obligation de conseil auprès du RT

• désignation d’un DPO

L e r e p r é s e n t a n t l é g a l

• point de contact de l’autorité

• tenue d’un registre

• mandat pour « être consulté en complément ou à la place du RT sur toutes les questions

relatives aux traitements » (DPA, personnes, etc.)

Re s p o n s a b i l i t é c o n j o i n t e

pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de

traitement conjoints »


L’accountability à l’heure du Règlement

13

➢ Aujourd’hui => formalités préalables pour tout traitement => charge administrative et financière, peu efficace pour la protection des libertés ;

➢ Remplacées par des procédures et des mécanismes de responsabilisation

✓ l’application des principes de privacy by design et privacy by default

✓ la conduite d’analyses d’impact, ou « DPIA » ;

✓ la tenue d’un registre des traitements mis en œuvre ;

✓ la notification de failles de sécurité ;

✓ la consultation de la CNIL - DPIA

✓ la certification de traitements

✓ et l’adhésion à des codes de conduites.


Axe 3 : Des sanctions renforcées

14

« Les sanctions sont effectives, proportionnées et dissuasives »

Limiter

temporairement

ou

définitivement

un traitement

Suspension

des flux de

données hors

UE

Amendes

administratives

- 10 000 000€ / < 2

% du chiffre

d’affaires mondial

(CAM)

- 20 000 000€ / <

4% CAM

Mise en

demeure

de se

mettre en

conformité


Des voies de recours déclinées

15

Droit à un

recours

juridictionnel

contre un RT

- ST

Droit à un

recours

juridictionnel

contre une

DPA

Droit à un

recours

collectif

Une personne

peut mandater

un tiers pour

introduire une

réclamation en

son nom

Droit à

réparation

pour les

usagers

Réparation en

cas de

dommage

matériel ou

immatériel


Axe 4 : vers un marché commun unifié

Le mécanisme de coopération

renforcée pour les traitements

transnationaux, ou « one-stop-shop »

La DPA chef de file est celle dont le RT – ST a son

établissement principal établi sur le territoire national

La DPA chef de file rédige des projets de mesures et les

propose à toutes les DPA compétentes

Lorsqu’il n’y a pas d’objections sur les projets proposés,

alors les mesures sont réputées adoptées

S’il y a des objections et que les DPA ne parviennent pas

à se mettre d’accord, alors l’organe européen, l’EDPB,

est saisi

16 20181109-DAF - AT INTERNET

17

Le règlement s’applique dès lors qu’un de ces deux critères est présent :

- le responsable de traitement ou le sous-traitant est établi sur le

territoire de l’Union européenne

OU

- le responsable de traitement ou le sous-traitant n’est pas établi sur

le territoire de l’UE, mais met en œuvre des traitement visant à

fournir des biens et des services aux résidents européens ou à

les surveiller (monitor)

Un champ d’application territorial étendu


18

Merci de votre attention !

➢ Pour plus d’information : RV sur www.cnil.fr

http://www.cnil.fr/

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

Data & Analytics

Transcript of [DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)