Protection des données personnelles :

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Cadre juridique de la Protection des Données à caractère Personnel

Big Data et le droit :

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Big Data: les enjeux juridiques

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Directive cadre du groupe. Protection des données des clients et des partenaires.

Nathalie Métallinos Avocat à la Cour d'appel de Paris

CODE PROFESSIONNEL. déontologie

Règlement d INTERPOL sur le traitement des données

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Protection des données et transparence dans le canton de Genève

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

Procédure Juridique de mise en place d une base de données biométriques

Sur les informations traitées

Législation et droit d'un administrateur réseaux

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

CONDITIONS GENERALES DES BOITES POSTALES 1. DEFINITIONS

Les données à caractère personnel

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

CHARTE DE PROTECTION DE LA VIE PRIVEE Au 1 er janvier 2015

UE 4 Comptabilité et Audit. Le programme

QU EST-CE QU UNE MUTUELLE SOCIALE?

EX.CL/846(XXV) CONVENTION DE L UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Loi n du relative à la protection des données à caractère personnel

et développement d applications informatiques

Code de conduite Zoomit

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Être plus proche, mais pas à n importe quel prix

CONTRAT DE MAINTENANCE INFORMATIQUE MISE A JOUR SITE INTERNET

CODE DE CONDUITE FOURNISSEUR SODEXO

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

relative à l'informatique, aux fichiers et aux libertés (après adoption définitive par le Sénat du projet de loi la modifiant)

1. Procédure. 2. Les faits

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

JE MONTE UN SITE INTERNET

«Marketing /site web et la protection des données à caractère personnel»

CONDITIONS PARTICULIERES NUMEROS SVA

Les fiches déontologiques Multicanal

Guide juridique de l'e-commerce et de l'e-marketing

LES LOIS ANTI-CORRUPTION

DROIT AU DEREFERENCEMENT

Comité réglementation et simplification du conseil national de l industrie 16 mai 2014

Relations verticales au sein de la chaîne d'approvisionnement alimentaire: Principes de bonnes pratiques

Ces conditions de vente prévaudront sur toutes autres conditions générales ou particulières non expressément agréées par SUD LOGICIEL GESTION.

Cahier des Clauses Techniques Particulières

nugg.ad Déclaration sur la protection des données

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

Le Traitement des Données Personnelles au sein d une Association

Conseil d'état - 5ème et 4ème sous-sections réunies. Lecture du mercredi 30 mars Société Betclic Enterprises Limited

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Déclaration des droits sur Internet

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

TRADUCTION EXTÉRIEURE NON RÉVISÉE

Commission nationale de l informatique et des libertés

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

CONDITIONS GENERALES DE VENTE

APERÇU DES OBLIGATIONS

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Synthèse. Loyauté et réciprocité des échanges entre l Union Européenne et les pays tiers. Propositions et axes de réflexion des IEEC

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Conditions d utilisation du service

Règlement de traitement des données personnelles. Version destinée au siège principal

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Luxembourg-Luxembourg: Services de traduction AMI14/AR-RU 2014/S Appel de manifestations d'intérêt

Les transferts de données à caractère personnel hors Union européenne

SITES INTERNET CREATION ET FONCTIONNEMENT D UN SITE INTERNET POUR UN LABORATOIRE DE BIOLOGIE MEDICALE

CONDITIONS GENERALES D UTILISATION

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

L application doit être validée et l infrastructure informatique doit être qualifiée.

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

Protection des données, Technologie, Médias et Propriété intellectuelle. local partner for global players

CONVENTION ENTRE LES SOUSSIGNÉS

C. N. E. E. TRANSCRIPTION DES DIRECTIVES 92/49/CEE 92/96/CEE et 92/50/CEE. Titre II Article 6

CHARTE ETHIQUE GROUPE HEURTEY PETROCHEM

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

PROTÉGER VOS BASES DE DONNÉES

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

CONTRAT DE MOBILITE POUR LES MOBILITES D ETUDES DU PROGRAMME ERASMUS+

INSTRUCTION N RELATIVE A L'ORGANISATION DU CONTRÔLE INTERNE AU SEIN DES SYSTEMES FINANCIERS DECENTRALISES

Outil d autoévaluation LPRPDE. Loi sur la protection des renseignements personnels et les documents électroniques

GROUPE BRACCO CODE ETHIQUE

Envoi et réception des documents sociaux par voie électronique

NIC BURKINA FASO - CHARTE DE NOMMAGE DU POINT BF ******* REGLES D'ENREGISTREMENT POUR LES NOMS DE DOMAINE SE TERMINANT EN.BF

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Etaient présents Madame Souad El Kohen, Messieurs Driss Belmahi, Abdelaziz Benzakour et Omar Seghrouchni ;

Conditions générales d utilisation

QUESTIONS/REPONSES SUR LE STATUT D'EXPORTATEUR AGREE DGDDI Bureau E1- septembre 2011 Statut d'exportateur agréé (EA)

Transcription:

Protection des données personnelles : nouveaux risques et obligations tels qu issus du Règlement général relatif à la protection des données (RGPD) Nathalie Metallinos, avocate à la cour, Idea avocats Chargée d enseignement à l université Paris Sud et au CNAM Nathalie Metallinos 2016 Présentation RGPD 1

Plan de la présentation Quelques rappels Contenu de la réforme Se préparer Questions/réponses Nathalie Metallinos 2016 Présentation RGPD # 2

Rappels Nathalie Metallinos 2016 Présentation RGPD 3

Repères chronologiques 1978 : France : loi «informatique et libertés» 1980 : Lignes directrices de l'ocde 1981 : Convention n 108 du conseil de l Europe 1995 : Directive européenne 95/46 «protection des données personnelles» 1999 : Application de la directive 95/46 aux pays de l AELE (Norvège, Islande et Lichtenstein) 2002 : Directive européenne 2002/58 «vie privée et communications électroniques» 2004 : Refonte de la loi Informatique et Libertés 2009 : Refonte du «paquet télécom» 2010 : Reconnaissance droit à la protection des données personnelle comme un droit fondamental de l UE (art. 8 Charte européenne des droits fondamentaux) 2011 : Transposition dans les États membres de la réforme du paquet télécom 2016 : Adoption du nouveau Règlement européen relatif à la protection des données 2016 : Modification de la loi Informatique et libertés par la Loi pour une république numérique 2017? Adaptation de la directive vie privée et communications électroniques 2018 : entrée en vigueur du RGPD Nathalie Metallinos 2016 Présentation RGPD Page 4

Notions-clés (1) La législation en matière de protection des données à caractère personnel s applique aux traitements de données à caractère personnel, automatisés ou non => s applique aux traitements manuels dès lors que les données sont appelées à figurer dans un fichier Il suffit que l on puisse relier les données à la personne/que la personne soit affectée par les données pour que les données soient des données à caractère personnel Les données «anonymes» ne sont pas des données à caractère personnel (condition : impossibilité absolue de ré identifier la personne), sinon on parle de données «pseudonymes» constituent des donnée à caractère personnel des données telles que le n d immatriculation d un véhicule, l adresse Mac du composant wifi d un smartphone, l adresse IP, un identifiant marketing implanté dans un cookie, une image, des données codées Nathalie Metallinos 2016 Présentation RGPD 5

Notions-clés (2) Notions de Responsable de traitement et de sous-traitant -Le responsable de traitement) est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (notion complexe) - À distinguer de celle de sous-traitant = la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du responsable de traitement Nathalie Metallinos 2016 Présentation RGPD 6

ADAPTATION DES PRINCIPES Objectifs de la réforme Faire face aux nouveaux défis technologiques et à l importance croissante du volume des données personnelles traitées (big data) Prendre en compte la dissémination des données sur internet (réseaux sociaux, informatique en nuage) Tenir compte des modalités de collecte de moins en moins décelables (Internet des objets) EFFECTIVITÉ DES RÈGLES Palier au manque d harmonisation des règles, assurer la coordination rapide et efficace entre autorités nationales chargées de la protection des données. Rendre dissuasives les sanctions Nathalie Metallinos 2016 Présentation RGPD Page 7

Les Risques Nathalie Metallinos 2016 Présentation RGPD Page 8

Le contenu de la réforme Nathalie Metallinos 2016 Présentation RGPD 9

Aperçu de la réforme en 8 points 1. Champ d application étendu 2. Principes inchangés pour l essentiel 3. Reconduction des restrictions (données particulières / transferts de données) 4. Le principe d «accountability» 5. Le renforcement des droits des personnes 6. Les outils de la conformité 7. Le Nouveau régime de responsabilité 8. Application uniforme du Rgpd Nathalie Metallinos 2016 Présentation RGPD 10

1. Champ d application étendu Un champ d application territorial étendu (art.3) Principal critère reconduit : l établissement du responsable de traitement ou du soustraitant Nouvelles règles d application extraterritoriale : application aux responsable de traitement et sous-traitant non établis dans l Union dès lors que les activités de traitement concernent des personnes physiques se trouvant sur le territoire de l Union et sont liées à l'offre de biens ou de services à ces personnes (y compris à titre gratuit), ou au suivi du comportement de ces personnes (comportement qui a lieu au sein de l'union). Limites : Sites Interne : La simple accessibilité du site dans l Union ne suffit pas à établir l intention d offrir des biens ou des services à des personnes situées sur le territoire de l Union : application des critères du droit de la consommation (langue, monnaie, référents aux utilisateurs/clients situés dans l Union) Profilage: le comportement suivi doit avoir lieu dans l Union européenne Nathalie Metallinos 2016 Présentation RGPD # 11

2. Des principes inchangés(1) Conditions de licéité : Pour pouvoir être mis en œuvre le traitement de données à caractère personnel doit pouvoir être justifié par l un des fondements suivants : - le consentement de la personne concernée - la nécessité contractuelle - le respect d'une obligation légale - la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique - l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique - la poursuite des intérêts légitimes du responsable de traitement ou d un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Important : Dans TOUS les cas le traitement doit être compatible avec les finalités initiales de la collecte. Nathalie Metallinos 2016 Présentation RGPD # 12

2. Des principes inchangés(2) Les données à caractère personnel faisant l'objet d'un traitement automatisé doivent être (art.5): Obtenues et traitées de manière licite, loyale et transparente (Licéité, loyauté et transparence) Collectées pour des finalités déterminées, explicites et légitimes et ne sont pas utilisées ultérieurement de manière incompatible avec ces finalités (Limitation des finalités) Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées (Minimisation des données) Exactes et si nécessaire tenues à jour (Exactitude) Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (Limitation de la conservation) Exceptions : archives publiques, recherche scientifique & historique traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) Nathalie Metallinos 2016 Présentation RGPD 13

3. Reconduction des restrictions : les catégories particulières de données Données «sensibles» (art.9) > Qui font apparaître, directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, > traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, > Ou qui sont relatives à la santé ou la vie sexuelle Interdiction pouvant être levée par le jeu d exceptions prévues dans le Rgdp Infractions, condamnations et mesures de sûreté (art.10) > Ne peut être effectué que sous le contrôle de l'autorité publique, ou > Si le traitement est autorisé par le droit de l'union ou par le droit d'un État membre > Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. Données relatives aux mineurs (art.8) > Offres des services de la société de l information : Exigence de consentement parental pour les enfants de moins de 16 ans Nathalie Metallinos 2016 Présentation RGPD 14

3. Reconduction des restrictions : les transferts de données hors UE Principes (art.44 à 50) Les transferts ne doivent pas compromettre le niveau de protection garanti par le Rgpd (// CJUE Schrems) Renforcement des conditions de l adéquation Nouveau rôle reconnu aux règles internes d entreprise (BCR), aux codes de conduite et à la certification Reconduction du jeu des exceptions Dispositions applicables également aux transferts ultérieurs En pratique Transferts libres vers les pays/secteurs d activités «adéquats» Transferts libres moyennant la mise en œuvre de garanties adéquates (à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives) : Accords entre autorités & organismes publics Clauses contractuelles types Règles internes d entreprise Code de conduite Certification Dans les autres cas: Autorisation de l autorité de protection des données sauf si exceptions applicables Nathalie Metallinos 2016 Présentation RGPD 15

4. Nouveau principe d «accountability» Changement de philosophie : vers un régime d autorégulation Obligation de démontrer la conformité aux principes (art.5-2) et notamment la mise en œuvre des mesures techniques et organisationnelles Art.24 : Approche par les risques «Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement.» Conséquence : - Adoption de politiques internes et codes de conduite (notamment pour les transferts) - Mise en place de systèmes de contrôle(audit des traitements, certification ) - Réalisation d études d impact sur la vie privée, Nathalie Metallinos 2016 Présentation RGPD Page 16

5. Les outils de la conformité Le DPO (section IV) Le contrôle renforcé du recours à la sous-traitance (art.28) La tenue du registre des activités de traitement (art.30) L analyse d impact (EIVP) (art.35) La consultation préalable de l autorité de contrôle (art.36) Les codes de conduite (art.40) et certifications (art.42) La mise en œuvre du privacy by design/by default (art.33) Les BCR (art.47) Nathalie Metallinos 2016 Présentation RGPD Page 17

6. Renforcement des droits des personnes Droit à l information renforcé (art.13-15) Information sur le fondement du traitement, sur la durée de conservation (//LRN), le droit de retrait du consentement donné, accès à la logique qui sous-tend les mesures de profilage, sur les traitements ultérieurs Droits de rectification, droit à l effacement et à la limitation du traitement (art.17&18) Droit à la portabilité des données si traitement repose sur le consentement ou est effectué à l ide de procédés automatisés (art.20) Renforcement de la charge de preuve pour l exercice du droit d opposition (art.21) Droit d opposition au profilage à des fins de prospection (art.221-2), ainsi qu aux prises de décisions basées sur le profilage (art.22) Droit à réclamation auprès de l autorité de contrôle, droit à un recours juridictionnel, droit à réparation + action de groupe (organismes/associations œuvrant à la protection des personnes) Condition de consentement (non valide si «déséquilibre significatif») Traitement des données relatives aux mineurs Nathalie Metallinos 2016 Présentation RGPD Page 18

7. Nouveau régime de responsabilité Droit à réparation des personnes (actions de groupe) Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du règlement. Fin du régime d immunité du sous-traitant : Obligations et responsabilité propre => responsable du dommage causé par le traitement 1) s'il n'a pas respecté ses obligations spécifiques ou 2) s il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. Solidarité vis à vis de personnes concernées Des sanctions alourdies : jusqu à 20millions d euros (ou 4% CA mondial) Nathalie Metallinos 2016 Présentation RGPD Page 19

8. Application uniforme du Rgpd Instauration d un principe de guichet unique Assistance mutuelle entre autorité de protection des données (échanges d informations, contrôles conjoints) Mécanisme de contrôle de cohérence Création du Comité européen de la protection des données (CEPD) Nathalie Metallinos 2016 Présentation RGPD # 20

Se prépare à l entrée en application du Rgpd LES ACTIONS À METTRE EN ŒUVRE Nathalie Metallinos 2016 Présentation RGPD 21

Réaliser un État des lieux (1) État des lieux = première étape pour assoir une démarche de conformité Objectifs : recenser les traitements disposer d une appréciation générale sur la conformité des traitements mis en œuvre, afin de mettre en place un plan d action permettre l encadrement et la diffusion de bonnes pratiques, ainsi que de mesure du risque opérationnel résultant de ces traitements. Nathalie Metallinos 2016 Présentation RGPD Page 22

Gouvernance et procédures (2) Adoption de politiques / gouvernance destinées à assurer l application du Règlement général relatif à la protection des données à caractère personnel Organisation et responsabilités (RACI) Politique de durée de conservation et archivage Analyse des risques Procédure de réalisation des EIVP Respect des droits des personnes Traitement des réclamations des personnes Coopération avec l autorité de contrôle Nathalie Metallinos 2016 Présentation RGPD # 23

Déploiement opérationnel(3) Formation et la sensibilisation des personnels à la règlementation I&L Réécriture des mentions d information Revue des modèles de contrats de sous-traitance (pour inclure notamment la liste de obligations auxquelles est tenu le responsable de traitement) Établissement de conventions intragroupe pour répartir les responsabilités des traitements Revue des contrats prestataires (renégociation, répartition des responsabilités en cas de responsabilité conjointe) et audits Réalisation d études d impacts sur les nouveaux traitements Nathalie Metallinos 2016 Présentation RGPD Page 24

Des questions? Merci de votre attention Nathalie.metallinos@idea-avocats.com Nathalie Metallinos 2016 Présentation RGPD 25

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back