Réforme de la protection des données



Documents pareils
Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Code de conduite du Label de Qualité BeCommerce pour la Vente à

Les clauses sécurité dans un contrat de cloud

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Protection des données et transparence dans le canton de Genève

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Big Data et le droit :

La responsabilité juridique des infirmiers. Carine GRUDET Juriste

UNION EUROPÉENNE 2005/0182 (COD) PE-CONS 3677/05

Data Breach / Violation de données

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Contractualiser la sécurité du cloud computing

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

Exemple de directives relatives à l utilisation du courrier électronique et d Internet au sein de l'entreprise

Etude réalisée dans le contexte de la conférence AFCDP sur la NOTIFICATION DES «ATTEINTES AUX TRAITEMENT DE DONNEES PERSONNELLES»

France Luxembourg Suisse 1

Recommandations sur le Cloud computing

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

1.7 Start People SA se réserve le droit souverain de modifier, ajouter ou supprimer des dispositions dans le cadre du présent règlement.

DOCUMENTS INHÉRENTS À LA RUPTURE DU CONTRAT DE TRAVAIL - certificat de travail et portabilité de la prévoyance-

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L ANALYSE D IMPACT. accompagnant la

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

La faillite internationale

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

Conditions Générale de «Prestations de services»

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

CONSEILLER EN INVESTISSEMENTS FINANCIERS. 1. La définition de l activité des CIF

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Directive sur l utilisation professionnelle des TIC

Politique en matière de traitement des demandes d'information et des réclamations

ACCORD DE SOUS-LICENCE ET DE CERTIFICATION

REPUBL QUE FRANCA SE

LA FAUTE MEDICALE : L assurance de responsabilité civile UIA SOFIA 2014

TERMES ET CONDITIONS POUR L'UTILISATEUR de "emblue"

CONTRAT. a ENTRE: European Registry for Internet Domains vzw / asbl. Boulevard A. Reyers Brussels.

Projet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Les données à caractère personnel

Conditions Générales Le cocontractant est seul responsable, notamment, de l'usage qu'il fait des résultats de l'intervention.

Nouvelles règles TVA et leur impact sur le commerce électronique

REGLEMENT DU JEU. "1 an de Complémentaire Santé à GAGNER"

Microsoft Office Communications Server for BlackBerry Smartphones Guide de l'utilisateur

REGLEMENT DE CONSULTATION (R.C.) REPROFILAGE DU PORT DE LA BAIE DE LA GENDARMERIE - (COMMUNE DE SAVINES-LE-LAC)

Texte de l'arrêté "Site e-business"

TITRE IER DISPOSITIONS GENERALES

Charte d'usage et de contrôle du Label Hosted in Luxembourg

plombiers La profession des artisans Caractéristiques, activité, Comportements et attitudes

Razvan Dinca Maitre des conférences Faculté de Droit de l Université de Bucarest

Cas n COMP/M CREDIT MUTUEL / COFIDIS. RÈGLEMENT (CE) n 139/2004 SUR LES CONCENTRATIONS

Se préparer à la réponse judiciaire contre les attaques informatiques

Conditions générales pour l'utilisation (CGU) de PARSHIP.be Etat au

Nous réceptionnons les commandes par Internet, téléphone, courrier ou fax.

Cadre juridique de la Protection des Données à caractère Personnel

Politique d'utilisation (PU)

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

REGLEMENT DU PROGRAMME DE FIDELITE COFFEA

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

CONDITIONS PARTICULIÈRES FINANCEMENT DU PROJET ARTICLE

du Concordat sur les I. Contexte d'interprétation. Canton du en concordat grand avec cantonaux CLDJP. de position le 19 mars

CONSOMMATION Proposition de directive relative aux droits des consommateurs Position et Amendements de la CGPME

Privacy is good for business.

Toute utilisation du site doit respecter les présentes conditions d utilisation.

SYNDIC. - Création d une immatriculation obligatoire de toutes les copropriétés au sein d un registre national.

BusinessHIGHLIGHT DÉTECTION DE LA FRAUDE AUX ASSURANCES. Conseiller UN LEVIER D OPTIMISATION DE LA RENTABILITÉ. n

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Fiche 2 - La responsabilité pénale

JE MONTE UN SITE INTERNET

Ci-après individuellement désigné une «Partie» et collectivement les «Parties». Les parties sont convenues de ce qui suit :

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

LABÉO Manche dont l adresse est sis avenue de Paris CS SAINT-LO Cedex. Ci-après dénommé «LABÉO Manche» D une part

Mireille DESHAYES INSTITUT SUPERIEUR D ELECTRONIQUE DE PARIS (ISEP)

Entreprises de travaux, sécurisez vos chantiers à proximité des réseaux

TABLEAU COMPARATIF. Texte de la proposition de loi. Proposition de loi relative aux contrats d'assurance sur la vie.

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

CONVENTION D UTILISATION INTERNET

LEQUERRE et Lucas PAEAMARA

TRIBUNAL ADMINISTRATIF DE CAEN F D

Réponses des autorités françaises

ASSURANCE RESPONSABILITE CIVILE MEDICALE QUESTIONNAIRE GENERAL

CRM e-santé. Conditions d utilisation par les maîtrises d ouvrage régionales

ETUDE COMPARATIVE : PROPOSITION DE DIRECTIVE RELATIVE AU DROIT DES CONSOMMATEURS PAR RAPPORT AU DROIT COMMUNAUTAIRE ET AU DROIT FRANÇAIS POSITIF

Guide de l'utilisateur

POLITIQUE SUR LE SIGNALEMENT

La Responsabilité de l éducateur sportif

DISPOSITIONS GENERALES CONCERNANT LE SERVICE INTERNET DANS LA BIBLIOTHEQUE

FICHE PRATIQUE. CLP : Classification, étiquetage et emballage des produits chimiques. Contexte : classifier et identifier les substances chimiques

REGLEMENT DE CONSULTATION

LES VOITURES DE TOURISME AVEC CHAUFFEUR

Charte d Agrément Autre prestataire Pacitel

Commission spécialisée dans le domaine des droits des usagers du système de santé

CONTRAT DE MAINTENANCE "Matériel informatique"

Table des matières. Comment assurer l effectivité de la protection des droits à l ère post- snowden? Édouard Geffray

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

Cahier Des Charges APPEL A PROJETS INNOVATION 2015

CGV - SOUSCRIPTION ET ACHAT SUR LES SITES INTERNET du Groupe LE MESSAGER

LE CONTROLE DES CONCENTRATIONS DANS LE NOUVEAU DROIT SUISSE DE LA CONCURRENCE. par Pierre Tercier et Silvio Venturi*

Transcription:

Réforme de la protection des données Vers plus de régulation ex post : impact sur la compliance Impact des règles extra financières sur l'industrie financière 3 juillet 2013 Aurélie Banck Consultant senior Ancienne juriste auprès de la CNIL www.cabinet-cilex.com 1 Calendrier - Consultation de la Commission européenne - Publication du projet de la Commission européenne - Publication du rapport du rapporteur au Parlement européen - Débat au Parlement et au Conseil (4000 amendements) - Adoption : début 2014? mis 2014? - 2 ans pour la mise en conformité à compter de son adoption www.cabinet-cilex.com 2 1

Le projet de la Commission européenne - Publication d'un projet de règlement et d'un projet de directive (police-justice) le 25 janvier 2012 - Adaptation des règles de protection des données au contexte numérique (mondialisation des échanges, nouveaux acteurs, etc.) - Explosion d'internet - Harmonisation des régimes juridiques applicables au sein de l'ue - Les principes de la directive restent inchangés mais on constate une modification profonde du mode de régulation, «nouveau paradigme» www.cabinet-cilex.com 3 Basculement d'un régime administratif à une conformité globale 1 - La suppression de la notification préalable auprès de l'autorité de contrôle 2 L'accountability 3 La notification des violations de données à caractère personnel 4 L'obligation de désigner un CIL? www.cabinet-cilex.com 4 2

1 La suppression des notifications préalables - Obligation générale de notification des traitements mis en œuvre en droit communautaire et en droit français ( autorisation) liste mise à disposition par l'autorité de contrôle (transparence) - Remplacée par une approche par les risques : - documentation interne : contenu équivalent aux informations figurant dans les déclarations normales tenue par le responsable de traitement et le soustraitant - analyse d'impact pour la vie privée avec le cas échéant consultation de l'autorité de protection des données : pour les traitements les plus risqués et ceux identifiés par l'autorité de contrôle www.cabinet-cilex.com 5 2 L'accountability - Un concept anglo-saxon (APEC Privacy Framework) - Toutes les mesures mises en place pour garantir la conformité (traçabilité) - Engagement de la responsabilité du RT : garant du résultat, de l'effectivité des mesures - Règlement : intégration dans le corpus législatif - Changement de culture nécessaire (intégration des aspects I&L en amont et dans tous les process) - Effet : en termes de sanctions qui devront être modulées en fonction des efforts d accountability réalisés par l organisme «montant de l amende fixée en tenant cpte de la nature, de la gravité et de la durée de la violation et des mesures et procédures techniques et d organisation mises en œuvre» www.cabinet-cilex.com 6 3

3 - La notifications des violations de données à caractère personnel - Violation = événement entraînant de manière accidentelle ou illicite la perte, l altération ou l accès non autorisé à des données à caractère personnel - Extension de l obligation des violations de données à caractère personnel à tous les responsables de traitement. - Notification doit comporter certaines informations : la description de la nature de la violation (catégories de données, nbre de personnes concernées), les conséquences potentielles et les mesures proposées - Communication à la personne concernée si violation susceptible de porter atteinte à la protection des données - Sauf si le responsable de traitement est en mesure de démontrer à l'autorité qu'il a mis en œuvre des mesures de protection. www.cabinet-cilex.com 7 4 Le correspondant (CIL) - Obligation de désigner un CIL : - Devient obligatoire pour les entreprises ayant 250 salariés ou plus, les organismes publics et les entreprises dont «les activités consistent en des traitements qui du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier des personnes» - Débat au PE : critère pourrait évoluer (nombre de personne concernée par le traitement) pourrait redevenir facultatif - Interne ou externe (plus de seuil) - Nouvelles missions de contrôle de la mise en œuvre et de l'application du règlement notamment du principe de privacy by design, de l'information des personnes, des réponses aux demandes de droit d'accès, de la documentation, de la notification des violations, etc. www.cabinet-cilex.com 8 4

Le renforcement des droits des personnes concernées 1 Les modifications apportées aux droits actuels 2 L'octroi de nouveaux droits 3 Les voies de recours 4 Les sanctions www.cabinet-cilex.com 9 1 Les modifications apportées aux droits actuels - Droit à l'information : Complément : durée de conservation, nature de l intérêt légitime du RT justifiant le traitement, clause du contrat conclut, etc. Information spécifique en matière de profilage (art 20) : communication des «effets escomptés du traitement» sur la personne concernée. Renforcement de l information - Droit d'accès : nv modalités d exercice : par courrier électronique (avec obligation de répondre par la même voie), délai réduit (un mois) et motivation de la décision (ds la réponse doit mentionner la possibilité de porter plainte auprès de la CNIL). www.cabinet-cilex.com 10 5

2 Les nouveaux droits - Droit à la portabilité des données : Possibilité d'obtenir une copie des données «dans un format électronique structuré couramment utilisé et «qui permet la réutilisation de ces données par la personne concernée (art 18). Conséquences : possibilité d extraire à tout moment, transmission N impose p as de procéder à la suppression des données - Droit à l'oubli : Art 17 : droit d obtenir du responsable de traitement l effacement des données à caractère personnel et la cessation de la diffusion des données www.cabinet-cilex.com 11 3 Les recours en cas de violation du règlement Possibilité d introduire un recours juridictionnel - devant toute autorité de protection des données : si une personne considère que le traitement de données à caractère personnel dont elle fait l objet n est pas conforme au règlement Possibilité d'introduire un recours devant les juridictions - devant les juridictions de l État membre dans lequel le responsable de traitement ou le sous-traitant dispose d'un établissement ou dans lequel la personne a sa résidence habituelle Droit à réparation - Toujours la possibilité d'introduire une plainte auprès de l'autorité de contrôle - Introduction d'une solidarité de responsabilité entre le responsable de traitement et le sous-traitant (art 77) : toute personne ayant subi un dommage du fait d'un traitement illicite a le droit d'obtenir réparation de la part du responsable de traitement ou du sous-traitant www.cabinet-cilex.com 12 6

4 Les sanctions - Avertissement par écrit en cas de premier manquement non intentionnel : - lorsqu'une personne physique traite des DCP en l'absence d'intérêt commercial - lorsqu'un organisme (- 250 salariés) traite des DCP de manière accessoire à son activité principale - Accroissement du montant des sanctions administratives qui peuvent aller jusqu'à 2 % du chiffre d'affaire mondiale de l'entreprise : - 250 000 euros ou 0,5 % du CA mondial : défaut réponse aux demande de droits d'accès - 5000 000 euros ou 1 % du CA mondial : défaut d'information des personnes concernées - 1 millions d'euros ou 2 % du CA mondial : absence de notification d'une violation de DCP, de désignation d'un DPO, etc. - Possibilité pour les Etats membres d'adopter des sanctions pénales www.cabinet-cilex.com 13 Conclusion - Europe précurseur en matière de protection des données - Changement de paradigme dans la régulation : transfert des modes de régulation de l amont vers l aval à un régime de formalités administratives se substitue un principe de responsabilité globale du responsable de traitement et du soustraitant nécessitant pour les organismes à s adapter à ce nouveau mode de contrôle. - Impacts nombreux pour les établissements financiers notamment en raison de la sensibilité des traitements qu ils mettent en œuvre. - Accroît l autonomie du responsable de traitement www.cabinet-cilex.com 14 7

Merci! www.cabinet-cilex.com 15 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back