DONNÉES, CONNAISSANCES DU PARCOURS CLIENT ET EXPÉRIENCE UTILISATEUR Ce qui change avec le RGDP? HAAS Société d Avocats 32 rue de la Boétie 75008 PARIS Tel :01.56.43.68.80 Fax : 01.40.75.01.96 contact@haas-avocats.com www.haas-avocats.com www.jurilexblog.com HAAS -Avocats& LegalFab 2017
Le Cabinet HAAS Société d Avocats HAAS Avocats défend et protège les clients nationaux et internationaux intervenant dans les secteurs de la propriété intellectuelle, du droit des nouvelles technologies, de l information et de la communication, de la protection des données, de l ecommerce, de l e-marketing et du droit des affaires. Page 2 HAAS -Avocats& LegalFab 2017
Le Cabinet HAAS Société d Avocats Guide Juridique de l Ecommerce et du E-marketing 2016 : Récompensé par l académie des sciences commerciales Page 3 HAAS -Avocats& LegalFab 2017
Le Cabinet HAAS Société d Avocats Page 4 HAAS -Avocats& LegalFab 2017
VOTRE BUSINESS C EST LES DONNEES! «SAVOIR C EST PREVOIR!» Page 5 HAAS -Avocats& LegalFab 2017
Importance des formalités CNIL La vente d un fichier clients/prospects est nulle à défaut de déclaration préalable du fichier auprès de la CNIL! Sanctions pénales (actuelles) : 5 ans d emprisonnement et 300.000 euros d amende (art. 226-15 du code pénal) e-réputation : les risques pour l image de l entreprise sont importants Page 6
Le RGDP c est quoi? Le Règlement européen sur la protection des données personnelles (RGPD) a été adopté le 27 avril 2016. Il est d application directe. Il sera applicable dans tous les Etats Membres à compter du 25 mai 2018. Mais Certains articles de la loi pour une République Numérique du 7 Octobre 2016 créé des dispositions transitoires Page 7 HAAS -Avocats& LegalFab 2017
Sommaire Partie 1 DONNEES PERSONNELLES : LE CADRE GENERAL Partie 2 RGPD : QUELS IMPACTS SUR LES OUTILS DU PARCOURS CLIENT ET L UX? Partie 3 NOS RECOMMANDATIONS Page 8
Sommaire Partie 1 DONNEES PERSONNELLES : LE CADRE GENERAL Partie 2 RGPD : QUELS IMPACTS SUR LES OUTILS DU PARCOURS CLIENT ET L UX? Partie 3 NOS RECOMMANDATIONS Page 9
Page 10
RGDP: Les objectifs de la réforme 1. Renforcer les droits des personnes 2. Responsabiliser les acteurs traitant des données 3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données Page 11
RGPD : Champ d application matériel LE RGDP S APPLIQUE : aux traitements de données à caractère personnel, automatisé en tout ou en partie aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. Page 12
RGPD : Champ d application territorial DATA Cas n 2 Le responsable de traitement est établi hors UE mais offre des services à des citoyens de l UE DATA Cas n 1 Le RT est établi sur le territoire UE Page 13
Définitions (1) DONNÉES À CARACTÈRE PERSONNEL (DCP) Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant. (Adresse IP, témoins de connexion (Cookies), étiquettes d identification pour radiofréquence) FICHIER Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés. Page 14
Définitions (2) RESPONSABLE DE TRAITEMENT (RT) La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. SOUS-TRAITANT (ST) La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Page 15
Licéité du traitement Page 16
Minimisation des données Ces principes existaient dans la loi Informatique et libertés. Toutefois, a été introduit un véritable principe de minimisation des données: «Les données à caractère personnel doivent être ( ): c)adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); ( )» Page 17
L obligation d information Le RT informe la personne concernée sur ce qui est fait de ses DCP. finalités précises destinataires identité du RT transfert des DCP hors UE Page 18
Le consentement des personnes Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par un acte positif clair, le traitement de ses données. Le consentement doit porter sur une ou plusieurs finalités. Page 19
RGPD : Renforcement du consentement Le silence ne vaut pas consentement Charge de la preuve sur le RT Interdiction des cases précochées Consentement des parents (mineurs de moins de 16 ans) 1 traitement = 1 consentement Parallélisme opt-in / opt-out Page 20
Le consentement : opt-in/opt-out Collecte opt-out (case pré-cochée : interdite par RGPD) J accepte que mes données soient transférées à des sociétés partenaires. Collecte opt-in (case décochée) J accepte que mes données soient transférées à des sociétés partenaires. L opt-in est la règle en matière de prospection commerciale (renforcée par le RGPD)! Page 21
Les droits préexistants (1) Droit d opposition Droit de rectification Droit d information Droit d accès Droit de communication Page 22
Les nouveaux droits (2) Droit à l oubli Droit à la limitation du traitement NOUVEAUX DROITS Droit à la portabilité Droit de s opposer au profilage Page 23
De la déclaration a priori au contrôle a posteriori Le système actuel de déclaration auprès de la CNIL va être supprimé : à l exception des autorisations! Page 24
Le «Privacy by Design» (1) ACCOUNTABILITY Capacité de mise en conformité permanente (art. 24) PRIVACY BY DESIGN Mesures techniques et organisationnelles appropriées* dès la conception * : notamment par le chiffrement ou la pseudonymisation des données Page 25
Le «Privacy by Design» (2) Qualité et intégrité des données Avantage concurrentiel Loyauté Le cercle vertueux du Privacy by Design Confiance et fiabilité Réputation Page 26
Le «Privacy by default» Les entreprises implémentent dès la conception et par défaut les mesures organisationnelles et techniques appropriées comme la minimisation et l anonymisation des données. Démarche proactive et préventive limitation de la quantité des données collectées anonymisation des données collectées protection sans solliciter la vigilance de la personne se placer du côté des utilisateurs : relation de confiance qui facilite la fidélisation stratégie business, création d un avantage concurrentiel Page 27
Le principe d accountability RESPONSABILITE TRACABILITE MESURES APPROPRIEES CONFORMITE Le RT doit à tout moment être en mesure de justifier de la compliance de ses outils Page 28
Sommaire Partie 1 DONNEES PERSONNELLES : LE CADRE GENERAL Partie 2 RGPD : QUELS IMPACTS SUR LES OUTILS DU PARCOURS CLIENT ET l UX? Partie 3 NOS RECOMMANDATIONS Page 29
Qu est-ce que le parcours client? LES ETAPES Acquisition Transformation Fidélisation LES MOYENS Page 30 HAAS -Avocats& LegalFab 2017
1 er impact : les sanctions (1) Un pouvoir de sanction renforcé Depuis le 07 Octobre 2016 (loi pour une République Numérique) : Le plafond maximal des sanctions administratives de la CNIL est passé de 150.000 à 3 millions Page 31
1 er impact : les sanctions (2) A partir du 25 Mai 2018: Jusqu à 10.000.000 ou 2 % du chiffre d affaires annuel total En cas de manquements au principes suivants : Privacy by design, Privacy by default, PIA, etc. Jusqu à 20.000.000 ou 4 % du chiffre d affaires annuel total En cas de manquements aux droits des personnes concernées Page 32
1 er impact : les sanctions (3) RGPD : Extension du Champ d application territorial Cas n 1 Le RT est établi sur le territoire UE Cas n 2 Le responsable de traitement est établi hors UE mais offre des services à des citoyens de l UE Page 33
1 er impact : les sanctions (3) Création de l action de groupe en matière de traitement de données intentée par les organisations ou associations à but non lucratif: 1. Objectifs statutaires sont d ordre public; 2. Actif/ves dans le domaine de la protection des données Page 34
2 e impact: La Responsabilité partagée RT/ST Le règlement «égalise» les obligations applicables aux RT et aux ST, qui verront leur responsabilité conjointement engagée en cas de manquement. Responsable(s) de traitement Sous-traitant Atteinte aux DCP Page 35
2 e impact: La Responsabilité partagée RT/ST Le RT ne peut faire appel qu à des ST présentant «des garanties suffisantes» permettant de répondre aux exigences du règlement: Adhésion à un code de bonne conduite Soumission à un mécanisme de certification approuvé Page 36
Contrat de sous-traitance Le contrat avec le ST doit préciser: 1. Les obligations du ST 2. L objet et la durée du traitement 3. La nature et la finalité 4. Le type de données 5. Les catégories de personnes concernées 6. Les droits et obligations du RT + Seul le RT peut autoriser le ST à lui-même sous-traiter sa mission Page 37
RGPD : Obligation de sécurité du RT et du ST Mettre en place des mesures techniques et organisationnelles Assurer d un niveau approprié de sécurité des données Page 38
2 e impact : La nouvelle responsabilité du ST Page 39
3 e impact: La prise en compte du consentement (1) FOCUS N 1: L utilisation de Cookies Aujourd hui, 3 principes : 1. Information spécifique concernant les conditions d utilisation des Cookies 2. Consentement préalable de l'utilisateur avant le stockage d'informations sur son équipement 3. sauf, si ces actions sont strictement nécessaires pour la délivrance du service. Page 40
3 e impact: La prise en compte du consentement (1) Etape 1 : Informer sur les cookies utilisés et leur finalité L'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau. Etape 2 : Une page «En savoir plus» L'utilisateur peut paramétrer les cookies. Page 41
3 e impact: La prise en compte du consentement (1) Page 42
3 e impact: La prise en compte du consentement (1) PROJET DE RÈGLEMENT E-PRIVACY Cookies de fonctionnement et/ou non intrusifs (statistiques d utilisation) Pas de consentement nécessaire Cookies «optionnels» (marketing, monitoring, profiling, etc.) Consentement nécessaire Implicite (via la configuration de son navigateur ou de l application) Page 43
3 e impact: La prise en compte du consentement (2) FOCUS N 2: Le profilage Collecter des données à caractère personnel dans le but de dresser un profil correspondant à une catégorie Repose sur une analyse comportementale permettant de déterminer le profil d un individu afin de lui proposer des offres ou services personnalisés Page 44
3 e impact: La prise en compte du consentement (2) Droit de ne pas faire l'objet d'une décision Fondée exclusivement sur un traitement automatisé Exceptions Consentement explicite Nécessaire à l exécution du contrat Autorisé par la législation Page 45
3 e impact: La prise en compte du consentement (2) FOCUS N 2: Le profilage Droit d obtenir une intervention humaine, d exprimer son point de vue et de contester la décision; Droit d être informé de l existence d un profilage et de disposer d informations sur : La logique sous-jacente L importance des conséquences prévues Pas de communication de l algorythme (secret d affaires) mais analyse d impacte à fournir. Page 46
3 e impact: La prise en compte du consentement (3) FOCUS N 3: L E-mailing Collecte opt-out (case pré-cochée : interdite par RGPD) J accepte que mes données soient transférées à des sociétés partenaires. Collecte opt-in (case décochée) J accepte que mes données soient transférées à des sociétés partenaires. L opt-in est la règle en matière de prospection commerciale (renforcée par le RGPD)! Page 47
E-mailing : exceptions au consentement préalable (3) PROSPECTION B TO B Publicité envoyée sur une adresse électronique professionnelle générique (contact@societe.com) Sollicitation en rapport avec sa profession PROSPECTION B TO C Publicité concerne des produits ou services analogues à ceux déjà acquis par le consommateur auprès du même organisme La personne doit être impérativement : Informée que son adresse électronique sera utilisée à des fins de prospection En mesure de s opposer à cette utilisation de manière simple et gratuite Page 48
E-mailing : le cas des mineurs (3) Aujourd hui : la CNIL autorise la collecte de données personnelles auprès de mineurs à condition de: - Recueillir le consentement préalable des représentants légaux - Fournir une information claire aux mineur Art. 8 RGPD : Avant 16 ans, le consentement des parents est requis pour procéder au traitement des données Page 49
Sommaire Partie 1 DONNEES PERSONNELLES : LE CADRE GENERAL Partie 2 RGPD : QUELS IMPACTS SUR LES OUTILS DU PARCOURS CLIENT Partie 3 NOS RECOMMANDATIONS Page 50
Quoi faire? 1. Réaliser un PIA / audit Page 51
Quoi faire? 1. Réaliser un PIA / audit L étude d impact (PIA) contient au moins: une description des traitements envisagés et de leur finalité une évaluation de la proportionnalité des traitements au regard des finalités une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour garantir la sécurité des données L étude d impact est à la fois juridique et technique (tests d intrusion des whitehat). Le RT doit demander conseil au DPO. Page 52
Quoi faire? 2. Désigner un CIL/DPO Un vecteur de sécurité juridique Une source de sécurité informatique Un facteur de simplification des formalités administratives Un accès personnalisé aux services de la CNIL La preuve d un engagement éthique et citoyen Un outil de valorisation du patrimoine informationnel Page 53
Quoi faire? 2. Désigner un CIL/DPO CIL aujourd hui Facultatif Il dispense les entreprises des formalités CNIL DPO obligatoire demain RT dépend du secteur public Traitement à grande échelle Nécessité d un suivi régulier et systématique à grande échelle des personnes concernées Imposé par une législation nationale # Le DPO comme le CIL 1 Peut être interne à l entreprise ou externe 2 Doit être compétent en matière de protection des données 3 Est indépendant 4 Peut être mutualisé Page 54
Quoi faire? 2. Désigner un CIL/DPO MISSIONS COMMUNES Informer et conseiller le responsable de traitement et ses employés Assurer le respect des lois et règlements en vigueur NOUVELLES MISSIONS Mise en place du Privacy by Design / Privacy by Default Interlocuteur privilégié de l autorité de contrôle Garant de l exercice de leurs droits par les personnes concernées Rendre compte de son action Réalisation d études d impact Tenue des registres Page 55
Quoi faire? 3. Réaliser un registre des traitements Nom du RT, nom du DPO le cas échéant Délais d effacement Finalité de traitement Transfert vers des pays tiers Mentions du registre Personnes concernées Destinataires DCP concernées Page 56
Quoi faire? 3. Réaliser un registre des traitements Tenus par le RT ou le ST Obligatoire au-dessus de 250 salariés Tenir le registre à disposition de la CNIL Le système actuel de déclaration auprès de la CNIL va être supprimé : à l exception des autorisations! Page 57
Quoi faire? 4. Former les équipes Page 58
Quoi faire? 5. Anticiper la faille de sécurité Notification d une faille de sécurité Faille de sécurité Notification dans les 72 heures Notification à la personne concernée Page 59
Quoi faire? 5. Anticiper la faille de sécurité Mettre en place des mesures techniques et organisationnelles Assurer d un niveau approprié de sécurité des données Tester la procédure Disposer d une procédure Page 60
Quoi faire? 5. Anticiper la faille de sécurité 1. Mise en conformité des traitements de données 2. PSSI (Politique sécurité des systèmes d information) 3. Charte utilisateurs des SI (rédaction et négociation avec les IRP) Page 61
Rappel : avant le 25 mai 2018 Plan de formation Revoir les contrats de sous-traitance, politiques de confidentialité, chartes informatique Procédure de gestion des demandes d accès par les personnes concernées Procédure d appréciation des modalités de recueil du consentement Contenu du Programme de Compliance DCP Procédure d analyse de risques études d impact (Privacy by Design Privacy by Default) Page 62 Procédure de gestion de crise Procédure de sécurité informatique (gestion des droits d accès, audits réguliers)
Nous vous accompagnons Parce que la conformité est vecteur de confiance, le Cabinet HAAS Avocats vous accompagne dans votre démarche mise en conformité : Solutions techniques : PIA / Audit de traitement; Service CIL/DPO Solutions juridiques : Audit de traitement, de site internet, plan d actions, gestion des contentieux Contractualisation : Politique de gestion des incidents (PSSI), Charte Cookies, Politique de Confidentialité Page 63 HAAS -Avocats& LegalFab 2017
MERCI POUR VOTRE ATTENTION! Nous avons des réponses, avez-vous des questions? Nous sommes sur le stand n C18 Page 64 HAAS -Avocats& LegalFab 2017