Nouveau Monde Avocats

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

PROTÉGER VOS BASES DE DONNÉES

France Luxembourg Suisse 1

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

CHAPITRE 1 : LA PROFESSION COMPTABLE

Règlement d INTERPOL sur le traitement des données

Continuité d activité. Enjeux juridiques et responsabilités

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

UE 4 Comptabilité et Audit. Le programme

Recommandation sur le traitement des réclamations

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Commission nationale de l informatique et des libertés

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Big Data et le droit :

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Référent et management

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

La protection des associés en droit congolais et en droit OHADA

CHARTE ETHIQUE ACHATS

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Rôle de l Assurance Qualité dans la recherche clinique

RÈGLEMENT. sur la collaboration avec les intermédiaires

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

SITES INTERNET CREATION ET FONCTIONNEMENT D UN SITE INTERNET POUR UN LABORATOIRE DE BIOLOGIE MEDICALE

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Privacy is good for business.

Conférence de clôture sur le cyber harcèlement Stratégies des syndicats d enseignants en matière de cyber harcèlement. Bratislava, 7 juin 2010

Protection des données et transparence dans le canton de Genève

GUIDE DE CONDUITE ÉTHIQUE DES AFFAIRES Conflit d Intérêts

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

Consultation publique PARL OMPI EXPERTS PRESENTATION ET ETAT D AVANCEMENT DU PROJET PARL OMPI EXPERTS

Taux variables et accession à la propriété

Certificat de Qualification Professionnel d Agent de Prévention et de Sécurité (CQP APS)

Quelles assurances proposer? Focus sur le cloud computing

Recommandations sur le Cloud computing

Délibération n du 27 septembre 2010

CONVENTION DE PARTENARIAT AGENCES

d autre part, par toutes personnes physique ou morale souhaitant procéder à un achat via le site

Le contrat Cloud : plus simple et plus dangereux

GLOSSAIRE des opérations bancaires courantes

Le commissaire aux comptes et le premier exercice d un nouveau mandat

Position AMF n Notions essentielles contenues dans la directive sur les gestionnaires de fonds d investissement alternatifs

CONSULTATION PUBLIQUE SUR LA CREATION D UN REGISTRE NATIONAL DES CREDITS AUX PARTICULIERS

C. N. E. E. TRANSCRIPTION DES DIRECTIVES 92/49/CEE 92/96/CEE et 92/50/CEE. Titre II Article 6

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

LOI N du 16 juin 1986 instituant une Caisse des Règlements Pécuniaires des Avocats (CARPA)

La Responsabilité Civile De L anesthésiste

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Guide juridique de l'e-commerce et de l'e-marketing

28/06/2013, : MPKIG034,

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

OTRT : Office Tchadien de Régulation des Télécommunications. Contrat de Bureau d enregistrement

«Marketing /site web et la protection des données à caractère personnel»

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Le Privilège du secret professionnel des conseillers juridiques en entreprise

Cadre juridique de la Protection des Données à caractère Personnel

Les violences conjugales

Deuxième Cycle d Evaluation. Addendum au Rapport de Conformité sur la Hongrie

Etre expatrié ou s expatrier à l étranger Frais de santé au 1er euro (prise en charge intégrale):

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Termes et Conditions d Enregistrement des Noms de Domaine.eu

1. Décret exécutif n du 20 Janvier 2009, modifié et complété, fixant la réglementation relative à l'exercice de la profession d'agent

1. L ENTREPRISE 2. CARACTERISTIQUES ET DEROULEMENT DE LA PRESTATION CHARTE QUALITE 2.1. DEMARCHE VOLONTAIRE 2.2. REALISATION DE L AUDIT

Conditions générales d intervention du CSTB pour la délivrance des certificats de marquage CE

Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

(Document adopté par la Commission le 19 janvier 2006)

RAPPORT DE TRANSPARENCE ORCOM SCC

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Audience publique de la Cour de cassation du Grand-Duché de Luxembourg du jeudi, dix-neuf mai deux mille onze.

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

Liste des pièces justificatives demandées

Ordonnance sur les services de certification électronique

Protection des données, Technologie, Médias et Propriété intellectuelle. local partner for global players

Big Data: les enjeux juridiques

Les questions juridiques importantes quand on lance une start-up

Assurance Bonus Malus (juillet 2005) Assurance BONUS MALUS vers une reforme annoncée mais bien vite oubliée

Les données à caractère personnel

Responsabilité Personnelle des Dirigeants Entreprises

LETTRE D INFORMATION IMMOBILIER

Législation et droit d'un administrateur réseaux

NOTIONS DE RESPONSABILITE

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

L ANI du 11 janvier 2013 : une petite révolution!

Crise, transmission, concurrence L entreprise face à ses mutations

Réponse à la consultation de la Commission européenne concernant le cadre juridique actuel régissant le droit fondamental à la protection des données

Transcription:

Harmoniser / uniformiser Responsabiliser les acteurs Augmentation du volume des données Protéger la vie privée Transfert des données Prise en compte de l évolution technologique (profilage)

27 avril 2016 : adoption du GDPR. 2016 / 2017 : préparation à sa mise en œuvre. 25 mai 2018 : entrée en vigueur du GDPR.

Matériel Traitement de données personnelles. Personne physique. Exclusion des activités personnelles. Territorial Etablissement du responsable de traitement (RT) ou du sous-traitant (ST) au sein de l UE. Peu importe que traitement ait lieu ou non dans l UE. RT ou ST non établi dans l UE (vente de b&s / profilage).

Désignation obligatoire Modalités Statut Missions Autorité ou entité publique ; Activités principales qui impliquent des traitements induisant un contrôle régulier et systématique des personnes à grande échelle ; traitements à grande échelle des catégories particulières de données (données sensibles ) et des données relatives à des condamnations et infractions. 1 membre du personne ou contrat de service ; DPO mutualisé ; Obligation de communiquer à la Cnil et aux personnes fichées les coordonnées du DPO. Compétences techniques, juridiques et organisationnelles ; Indépendance ; Absence de conflits d intérêts ; Confidentialité / secret professionnel. Informer et conseiller ; Contrôler le respect de la règlementation (audit) ; Superviser les PIA ; Former / sensibiliser ; Point de contact avec la Cnil.

Personne physique ou morale, autorité publique, service ou autre organisme. Seul ou conjointement avec d autre(s). Détermine les moyens et les finalités du traitement. RT Responsable de l ensemble des obligations du GDPR. Responsable du dommage causé. Personne ayant subi un dommage du fait du non-respect des obligations du GDPR a droit à réparation.

ST Personne physique ou morale, autorité publique, service ou autre organisme. Traite des données au nom et pour le compte du RT. Responsable du dommage causé par le traitement s il n a pas respecté ses obligations ou a agi en dehors des instructions du RT.

Suppression des déclarations Cnil. Demande d autorisation à la Cnil maintenu pour certain transfert hors UE. Consultation préalable pour certain traitement. Accountability = principe de responsabilité. Registre de traitement. PIA. Formation. Code de bonne conduite. Audit. Certification, etc. Obligation de documentation.

- Formation GDPR 27/03/2017

- Formation GDPR 27/03/2017

Cas d ouverture Profilage / segmentation ; Traitement à grande échelle de catégories particulières de données sensibles; Surveillance systématique à grande échelle d'une zone accessible au public. Listes établies par les Cnil nationales. Contenu Description opérations, finalités, intérêts légitimes du RT ; Évaluation de la nécessité et de la proportionnalité ; Évaluation des risques ; Mesures adoptées.

Privacy by design Conception des services tenant compte du respect de la vie privée. Respect du principe de minimisation des données et de limitation des finalités. Haut standard de sécurité depuis la conception. Documentation des mesures techniques et opérationnelles. Privacy by default Mise en œuvre des mesures techniques et organisationnelles pour garantir que par défaut, seules les données personnelles nécessaires à la finalité du traitement sont traitées (ex. quantité, accès limité aux seules personnes y ayant intérêt, etc.). Documentation des mesures techniques et opérationnelles

Responsable de traitement Obligation de notification étendue à l ensemble des RT ; Contenu notification (catégories de données concernées, conséquences, mesures prises) ; Sous-traitant Obligation d alerter et d informer le RT de l existence d une violation de sécurité. Obligation d alerter les individus si haut risque pour les droits et les libertés de l individu (sauf mesures de protection appropriées prises).

Critères d appréciation des mesures prises Etat des connaissances et coûts de mise en œuvre Nature, portée, contexte, finalité du traitement Risques présentés par le traitement (degré de probabilité et de gravité) résultant de la destruction, perte, altération, divulgation, accès non autorisé aux données

Catégories de mesures prises Pseudonymisation / chiffrement de données Moyens permettant de garantir la confidentialité des systèmes de traitement Moyens permettant de rétablir la disponibilité / accès aux données en cas d incident physique ou technique Procédure d évaluation régulières des mesures de sécurité

Pseudonymisation Anonymisation Les données ne peuvent plus être attribuées à un individu sans avoir recours à des informations supplémentaires conservées de manière séparée afin de garantir qu il ne soit plus identifié ou identifiable. RÉVERSIBLE Technique consistant à supprimer tout caractère identifiant à un ensemble de données. IRRÉVERSIBLE

Définition précisée (libre, spécifique, éclairée et univoque) Charge de la preuve au RT Consentement des enfants Interdiction des données sensibles Consentement Informations des personnes Mentions nouvelles : intérêts légitimes du RT, durée de conservation, coordonnées DPO, droit à la limitation et portabilité, droit de retirer son consentement, etc. concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples Icones normalisés. Transparence de l information Nouveaux droits Limitation, portabilité, opposition, droit à l oubli

Droit à l effacement (droit à l oubli) Droit à l effacement de ses données dans les meilleurs délais ; Conditions : données plus nécessaires, retrait du consentement, opposition au traitement ; Exceptions : liberté d expression et d information, obligation légale, etc. Droit à la limitation du traitement Contestation exactitude des données Traitement illicite et la personne préfère une limitation à un effacement Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale ) Droit à la portabilité Extension du droit d accès (données fournies à un RT) Interopérabilité (format structuré, couramment utilisé et lisible par machine) Transfert (à un autre RT) Restrictions (traitement de données automatisés, )

Accords internationaux (Safe Harbor / Privacy Shield) Interdiction des transferts de données en dehors UE sauf niveau adéquat de protection des données personnelles. Règles d entreprise contraignante / Binding corporate rules (BCR) Clauses contractuelles type adoptées par la Commission Européenne A défaut, il faut des garanties adéquates. Code de conduite ou certification Dérogation limitées (consentement, exécution d un contrat, etc.)

Certification / labels Accordés par des organismes accrédités par les Autorités pour 3 ans, au plus, renouvelables Création de labels européens («European Data Protection Seal») Registre public tenu par le CEPD (Comité Européen de Protection des Données) Code de bonne conduite Elaborés par des associations ou entités représentatives des RT/SST Approuvés par les Autorités Adhésion facultative, mais valeur contraignante Contrôle du respect des codes par un organisme accrédité par l Autorité

Régime actuel Pouvoir de contrôle de la Cnil : Contrôle sur place ; Contrôle sur pièces ; Contrôle sur convocation ; Contrôle en ligne. Sanctions : Sanctions administratives jusqu à 3 millions (loi République Numérique) ; Sanctions pénales ; Risque d image / commercial ; Risque de contentieux social / commercial. GDPR Pouvoirs des autorités de contrôle : Pouvoirs de contrôle (enquête) Mener des enquêtes sous forme d audit Procéder à un examen des certifications Accéder aux informations et aux locaux du RT et du ST Pouvoir d ester en justice / action de groupe Mécanisme de coopération et d autorité chef de fil Comité européen de la protection des données Pouvoirs de sanctions Renforcement des sanctions administratives : jusqu à 20 m ou 4 % du CA annuel global ou simple avertissement. Sanction pénale applicable selon la législation nationale

- Formation GDPR 27/03/2017

Nouveau Monde Avocats 11 quai Chateaubriand 35000 Rennes 222 boulevard Saint-Germain 75007 Paris 0299230033 https://www.nouveaumonde-avocats.com/ llm@nouveaumonde-avocats.com @L_LE_METAYER - Formation GDPR 27/03/2017

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back