Partenaire technologique et analytique des

services marketing des entreprises.

Subject matter | Client Details

Page 1© Bird & Bird LLP 2017

© Bird & Bird LLP 2017

ATELIER DE FORMATION GDPR

Se préparer à la nouvelle règlementation GDPR

Par Mérav Griguer

Avocat associée

Octobre 2017

1. Le nouveau Règlement européen (GDPR): plus que 7 mois pour se mettre enconformité !

Les fondamentaux

Page 4

A. Quoi ?

Qu’est-ce qu’une donnée à caractère personnel ?

Toute information relative à une personne physique identifiée ou identifiable de

manière directe ou indirecte

• Concerne toute personne physique : salariés, clients, prospects, prestataires,

fournisseurs, sous-traitants, etc.

• Exemples : nom, prénom, date de naissance, adresse

du domicile, adresse fiscale, identité bancaire, situation professionnelle, revenus,

patrimoine, logs de connexion, adresse IP, matricule salarié, photographie, etc.

Page 5

A. Quoi ?

Qu’est-ce qu’un traitement de données à caractère personnel ?

« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés

automatisés et appliquées à des données ou des ensembles de données à caractère

personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la

conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,

la communication par transmission, la diffusion ou toute autre forme de mise à

disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la

destruction ».

(Définition du nouveau Règlement européen)

• Exemples : « tenue des comptes clients », « lutte contre la fraude », « octroi et

gestion des crédits ou prêts consentis à des personnes physiques », « suivi des

activités relatives aux instruments financiers », « établissement et mise à jour des

listes d'initiés », etc.

Page 6

A. Quoi ?

Idées reçues : « je ne suis pas concerné(e) car ...

• Je n'ai qu'un fichier papier, je n'enregistre pas les données sur mon ordinateur »

• Je ne traite aucune donnée, c'est mon prestataire qui le fait »

• Je me contente de lire et consulter les informations »

• Je n'utilise pas de logiciel, seulement un tableau ou document word, excel »

• Je fais uniquement une copie par scan que je garde sur mon ordi »

• Je ne collecte pas des données sensibles ou qui portent atteinte à la vie privée »

• Je ne collecte pas les noms et prénoms »

• Je ne collecte et traite que des données qui concernent des personnes morales »

• Je ne collecte que des données financières »

• Je ne collecte que des données techniques (adresse IP, URL, données de

connexion, etc...) »

• J'anonymise les personnes qui ne sont désignées que par un

matricule/numéro/code »

• Je ne collecte que des données "publiques" trouvées sur internet »

• Je collecte uniquement des données professionnelles sur les salariés ou clients »

Page 7

Qui ?

● Responsable de traitement : personne qui détermine les finalités et les moyens du traitement de données personnelles

• Possibilité d'avoir deux responsables : responsabilité conjointe

● Sous-traitant : personne qui traite des données pour le compte du responsable de traitement

Subject matter | Client Details

Page 8© Bird & Bird LLP 2017

B. Jusqu'où ?

Champ d'application territorial

Responsable de traitement ou sous-traitant établi sur le territoire de l'UE

- ... même si le traitement est réalisé en pratique hors de l'UE !

Responsable de traitement ou sous-traitant établi en-dehors de l'UEmaistraitement de données relatives à des personnes situées dans l'UE

- Traitement lié à l'offre de biens ou de services à ces personnes (rémunérée ou non)

- Traitement lié au suivi au du comportement de ces personnes dans l'UE

Page 9

Page 10

C. Pourquoi ?

Sanctions pénales

Sanctions administratives de la CNIL

Avertissement qui peut être rendu public

Demande de suspension du traitement

• risque de désorganisation de l’entreprise, baissed’activité, frein à la compétitivité, coût financier, etc.

Retrait de l’autorisation accordée par la CNIL

Mise en demeure de cesser l’infraction

Sanction pécuniaire

• Aujourd'hui: jusqu'à 3 millions d'euros

• Demain: jusqu'à 20 millions d'euros ou 4% du chiffred'affaires annuel mondial

Publicité des sanctions

Ce qui change

Page 12

Augmentation des sanctions

GDPR – Nouveau règlement européen d'application directe en mai 2018

Cas de violations Sanctions Financières

1ere catégorie :

● Manquement à l'obligation de traitement loyal des données collectées, traitement de données sensibles ;

● Absence d'information / consentement,

● Manquement aux droits d'accès, de rectification, d'opposition, au droit à l'oubli, au droit à la portabilité des données… ;

● Non respect des règles relatives au transfert de données à caractère personnel dans un pays tiers ;

● Non respect d'une injonction de la CNIL.

Jusqu'à 4% du chiffre d'affaires mondial annuel

de l'entreprise

20 millions d'€ pour les autres

2nde catégorie :

Les autres manquements : défaut de tenue du registre des traitements ; absence de notification d'une faille de sécurité, manquement à l'obligation de sécurité, absence de "Privacy by design", absence d'étude d'impact, non-désignation d'un délégué à la protection des données personnelles….

Jusqu'à 2% du chiffre d'affaires mondial annuel

de l'entreprise

10 millions d'€ pour les autres

Nouvelle loi Informatique

et Libertés (issue de la loi

Lemaire) :sanctions de la CNIL jusqu'à 3

millions d'euros

+ Class Action

Actions de groupe

Page 13

● Déjà présentes dans la loi Informatique et Libertés depuis novembre 2016

Permettent de faire cesser le manquement à la loi I&L

Dommages et intérêts ?

● GDPR prévoit la possibilité de se faire représenter individuellement par un organisme, une organisation ou une association afin d'obtenir réparation (art. 80)

E-reputation

Page 14

20.000 € 10.000 €

45.000 €

Avertissement public

50.000 €

20.000 €15.000 €

Avertissement public

Avertissement public Avertissement

public

Avertissement public

40.000 €40.000 €

E-reputation

Page 15

Avertissement public

100.000 €, 150.000 € …

150.000 €

Page 16

E-reputation

Mise en demeure publique

Avertissement public

Page 17

ROI

Communication / Image de marque

Critère de distinctivité

Argument commercial

https://www.youtube.com/watch?v=Evahh1PXJIg

Avantage concurrentiel / Appels d'Offres

D. Comment ?

5 règles fondamentales à respecter

1. Traiter les données à caractère personnel (DP) pourune finalité déterminée et légitime

2. Collecter les DP strictement nécessaires et adéquatesà chaque finalité poursuivie

3. Informer et respecter le droit des personnes dont lesDP sont traitées

4. Limiter la durée de conservation des DP à laréalisation de la finalité poursuivie

5. Assurer la sécurité physique des locaux, la sécuritélogique des SI et la confidentialité des DP

Page 18

Page 19

Les piliers de la protection des données

Sécurité & Confidentialité

Droit des personnes

Privacyby design/ by default

Base légale

Politiques et procédures PIA

Gouvernance & Management des

données

● Anticiper et mettre en place des programmes de conformité afin d'être prêt au 25 mai 2018

Premières opérations de contrôle par les autorités de protection des données

Page 20

Les nouvelles obligations

Nouveaux droits

Notification des violations

New OPT-IN

Co-responsab

ilité

DPO

Information renforcée

PIA

Privacy by design/ by

default

Registres de

traitements

Focus sur les impacts du GDPR

Page 22

Focus : Obligation de désigner un DPO

• Les organismes et autorités publics

• Les entreprises privées…

• Si leurs activités de base consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées

• Si leurs activités de base consistent en des traitements à grande échelle de données sensibles ou de données relatives aux condamnations et infractions

• Les responsables de traitements comme les sous-traitants !

• Pour les entreprises n'entrant pas dans ces critères, la désignation d'un DPO est toutefois fortement recommandée

Qui est concerné ?

• Désignation sur la base de ses qualités professionnelles et de ses connaissances spécialisées de la législation et des pratiques

• Indépendance – absence de conflits d’intérêts – secret professionnel

• Mutualisation et externalisation : possible sous conditions

Comment choisir son DPO ?

Page 23

Focus : Le registre des traitements

Tenue du Registre (Art. 30 du GDPR) :

Obligation d'élaborer et de tenir à jour le registre de tousles traitements

Remplace les déclarations auprès de l'autorité de contrôledans la majeure partie des cas

S'applique à la fois aux responsables de traitements et auxsous-traitants

Le registre devra pouvoir être communiqué à la CNIL surdemande

Focus : Les droits des personnes

Droits dont disposent les personnes concernées

Droit d’information et droit d’accès à leurs données

Droit de modification et de suppression de leurs données (ex.: si inexactitudes ou sifin de la relation)

Droit d’opposition au traitement pour des motifs légitimes (ex.: image pourtrombinoscope versus image pour badge de sécurité)

Droit à l’oubli, i.e. « le droit de changer d’avis et de changer de vie »

Droit à la portabilité des données*

Droit à la limitation des traitements

Droit de définir des directives relatives au sort de ses données personnelles après samort (testament numérique)*

* LRN

Page 24

Page 25

Focus : Le consentement

Nouvelle définition

Un acte positif clair qui exprime de façon libre, spécifique, éclairée et univoquel'accord de la personne concernée

• qui doit être donné pour chaque finalité

• qui doit pouvoir être retiré aussi simplement qu'il a été donné

Exemples de consentement non valide :

• silence de la personne

• cases pré-cochées

• absence d'action

• déséquilibre manifeste entre la personne concernée et le responsable detraitement

• lien de subordination

• contrats d'adhésion, etc.

Page 26

Focus : Les études d'impact (PIA)

● Obligatoire pour certains traitements particuliers

• Profilage (ex. : scoring)

• Traitement à grande échelle de données sensibles

• Surveillance systématique et à grande échelle d'une zone accessible au public

• Tout autre traitement listé comme tel par l'autorité de contrôle("traitements les plus risqués")

● Méthodologie publiée dès 2012 par la CNIL (dernière MAJ : 2015) – à suivre

● Mise en place d'un "bac à sable" par la CNIL – à suivre

Privacy by design

Page 27Subject matter | Client Details© Bird & Bird LLP 2017

● Se traduit par « protection des données dès la conception »

● Mise en œuvre des mesures techniques et organisationnelles permettant d'assurer une protection des données au début, et tout au long, du cycle de vie d'une application ou solution

● Exemples de mesures:

• Minimisation des données collectées

• Ajout d'un contrôle pour recueillir le consentement de la personne

• Ajout des mentions d'information sur l'interface graphique

• Chiffrement des données lorsque nécessaire

• « Pseudonymisation » : remplacement d'une donnée à caractères personnel par un pseudonyme

• Suppression automatique des données à la fin de leur durée de conservation

Privacy by default :

Ne collecter et traiter, par défaut,

qu'exclusivement lesdonnées à caractère

personnel strictement nécessaires à la

finalité poursuivie par le traitement.

La monétisation des données

Page 28

Valorisation interne

● Nouvelle définition du profilage : "toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique"

• Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation desrendements, scoring…

● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre

● Monétisation : valorisation des données par l'entreprise qui les détient

• … soit dans le cadre de sa propre activité (big data, profilage)

• … soit par leur partage avec des tiers (vente de fichiers, mise à disposition)

Le profilage

Page 29

Traitement de données

automatisé,

pour évaluer, prédire, analyser

des personnalités, des comportements

PROFILAGE

● Information de la personne concernée sur l'existence du profilage, sa logique sous-jacente et ses conséquences prévues (art. 13)

● Droit de s'opposer au profilage lié à des fins de prospection (art. 21)

● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et affectant de manière significative la personne concernée (art. 22)

• PIA obligatoire pour ces traitements (art. 35)

Le profilage et la publicité ciblée

Page 30

Stockage et accès aux cookies

Profilage (traitement

des données)

Envoi de communications

commerciales

Opt-in

Opt-in

Opt-in

Opt-out(au-delà de la première vente, pour des produits ou services analogues)

● Articulation du GDPR et du Code des Postes et des Communications Electroniques

• Utilisation de cookies : consentement obligatoire de l'utilisateur (opt-in)

• Envoi de communications commerciales : consentement obligatoire (opt-in) sauf exception pour l'offre de produits et services analogues à ceux déjà vendus (opt-out)

● Proposition de règlement"e-Privacy" du 10 janvier 2017 : harmonisation de ces règles dans toute l'UE

La violation des données

• 177.300 cyberattaques quotidiennes à travers le monde

• Plus de 8 entreprises sur 10 ont déjà été victimes de cyberattaque

• 5 à 10 % du budget d’une entreprise consacré à la cybersécurité

• Plus de 35% des incidents de cybersécurité ont été générés par des collaborateurs

Subject matter | Client Details

Page 31© Bird & Bird LLP 2017

Page 32© Bird & Bird LLP 2017

Cybersecurité et vous ?

• Sondage

Avez-vous un mot de passe suffisamment sécurisé ?

https://www.youtube.com/watch?v=opRMrEfAIiI

https://youtu.be/opRMrEfAIiI

Page 33© Bird & Bird LLP 2017

Mesures et actions à mettre en place

• Mesures de prévention et limitation des risques

- Audit des politiques, procédures et pratiques

- Formation du personnel utilisateur

- Formation du personnel admin

- Audit des contrats (cloud)

- Assurance

• Anticipation de gestion de crise en cas d'incidents/de failles de sécurité ou violation des données

- Respect réglementation applicable: procédure de prévention et gestion des incidents

- Communication interne et externe

- Investigations pour identifier la cause / l'auteur

Page 34

Transferts internationaux

● Pays reconnus par la Commission Européenne comme offrant unniveau de protection adéquat (transferts autorisés)

• Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey,Nouvelle-Zélande, Suisse, Uruguay

● Pour les autres pays, prévoir des garanties par contrat (clausesstandard de l'UE), BCR, Privacy Shield

• Privacy Policy

• Procédure de gestion des plaintes

• Programmes de formation des salariés à la Protection des Données

• Procédures d'audit et programmes d'audit

• Contrat inter-entreprises

Page 35

Obligations et responsabilités partagées

TO DO

Audit complet des contrats pour clarifier la qualification des parties

Revue et mise à jour des clauses clés

Intégration des clauses obligatoires

Responsable de traitementData controller

Responsable de traitementData controller

Responsable de traitementData controller

Sous-traitantData processor

● Responsable de traitement : personne qui détermine les finalités et les moyens du traitement de données personnelles

• Possibilité d'avoir deux responsables : responsabilité conjointe

● Sous-traitant : personne qui traite des données pour le compte du responsable de traitement

Comment NP6 gère sa mise en conformité et opère la protection de vos données ?

Subject matter | Client Details

Page 36© Bird & Bird LLP 2017

2. Plan d'actions

Timeline – Plan d'actions de mise en conformité

2017 2018

Entrée en applicationDeadline

Etat des lieux -Audit des

traitements et identification des points de

non-conformité à corriger

Définition d'un

référentiel des durées de

conservation

Finalisation documentation

obligatoire

Analyse et adaptation des

mentions d'information obligatoires

Nouveaux droits (limitation,

portabilité, droit à l'oubli…)

Aujourd'huiFormation

GDPR

Réunion Groupe de travail

constitué du futur réseau du DPO + adoption du programme

de conformité au GDPR

Transferts de données hors UE

Privacy by design

Instruments d'accountability

Mai AvrilMarsFévrierJanvierDécembreNovembreOctobre

Nomination du futur

DPO

Etudes d'impact

Revue des typologies de contrats pour

intégration et encadrement de la coresponsabilité responsable de

traitement / sous-traitant

Registre(s) des

traitements

Opérations de formation et de

sensibilisation du personnel

Découvrez les prochains rendez-vous NP6 !

Subject matter | Client Details

Page 39© Bird & Bird LLP 2017

Merav GriguerAvocat Associée

Direct +33 1 42 68 6706

Mob +33 6 16 71 1485

merav.griguer@twobirds.com

@MeravGriguer

Merci !

www.np6.com