WEBINAR Le nouveau règlement européen sur la protection des données personnelles Le futur accord EU/US : Privacy Shield Quels enjeux pour les entreprises? DLA Piper France Jeudi 11 Février 2016, 9h00 10h00
Jeanne Bossi Malafosse Avocat, Counsel
Agenda Le nouveau règlement européen : 1. L'origine du règlement européen et le contexte dans lequel il intervient 2. Son champ d'application matériel et territorial 3. Ce qui va changer concrètement Les dernières nouvelles de l'accord EU/US sur le transfert de données à caractère personnel: le Privacy Shield Webinar GDPR & Privacy Shield 11/02/2016 3
Introduction : le nouveau Règlement Le 15 décembre 2015, les négociateurs du Parlement et du Conseil européens ont conclu un «compromis solide» sur la protection des données européennes annonçant ainsi la sortie du futur Règlement européen sur la protection des données personnelles. Ce nouveau règlement introduit de nouveaux concepts et de nouvelles obligations qui vont avoir des conséquences pour l ensemble des entreprises, notamment sur la manière dont elles effectuent des traitements de données à caractère personnel. Webinar GDPR & Privacy Shield 11/02/2016 4
1. L'origine du règlement européen et le contexte dans lequel il intervient Remplacer la directive de 1995 et ainsi prendre en compte : les évolutions technologiques de ces dix dernières années l augmentation considérable de ce fait de la collecte et des échanges de données personnelles les nouvelles modalités d accès aux données Renforcer les droits des citoyens relatifs à leurs données personnelles Prendre en compte l intégration économique du fait du marché unique et faciliter les flux de données au sein dudit marché Réduire les lourdeurs administratives et notamment les formalités préalables pesant sur les acteurs économiques Assurer une application homogène et cohérente des règles de protection des données personnelles Webinar GDPR & Privacy Shield 11/02/2016 5
1. L'origine du règlement européen et le contexte dans lequel il intervient Consultation lancée par la Commission européenne entre juillet et décembre 2009 Proposition de règlement de la Commission européenne en janvier 2012 Adoption du texte par le Parlement européen le 12 mars 2014 (avec plus de 3000 avenants) Intervention du Conseil européen de mars 2014 à décembre 2014 Début du trilogue en juin 2015 (Conseil européen, Parlement européen et Commission européenne) Accord sur le texte le 15 décembre 2015 - en attente de publication (a priori en avril 2016 pour une entrée en vigueur en mars/avril 2018-2 ans à compter de la publication) Acte normatif à portée générale, d application directe dans les Etats membres et contraignant pour les institutions, les Etats membres, les entreprises et les particuliers Webinar GDPR & Privacy Shield 11/02/2016 6
Agenda Le nouveau règlement européen : 1. L'origine du règlement européen et le contexte dans lequel il intervient 2. Son champ d'application matériel et territorial 3. Ce qui va changer concrètement Les dernières nouvelles de l'accord EU/US sur le transfert de données à caractère personnel: le Privacy Shield Webinar GDPR & Privacy Shield 11/02/2016 7
2. Champ d'application matériel et territorial Champ d application matériel Article 2 Le General Data Protection Regulation (GDPR) s applique : aux traitements de données à caractère personnel (DCP) automatisés en tout ou partie ; et aux traitements de DCP non automatisés dès lors que les données figurent ou sont appelées à figurer dans un fichier. aux traitements de DCP par les institutions, organes, organismes et agences de l'union. Qu'est ce qu'on entend par des données qui "figurent ou sont appelées à figurer dans un fichier"? Webinar GDPR & Privacy Shield 11/02/2016 8
2. Champ d'application matériel et territorial Champ d application territorial : Le GDPR s applique aux : traitements de DCP effectués dans le cadre des activités d un établissement d un responsable de traitement ou d un soustraitant ayant lieu sur le territoire de l UE (peu importe que le traitement ait effectivement lieu ou non sur le territoire de l UE). traitements de DCP de personnes ayant leur résidence sur le territoire de l UE et mis en œuvre par un responsable de traitement ou un sous-traitant non établi dans l UE dès lors que ces activités sont liées à : (i) l offre de biens ou de services à ces personnes dans l'union à titre gratuit ou payant ; ou (ii) à l observation de leur comportement dès lors qu ils sont localisés au sein de l UE. traitements de DCP d un responsable de traitement non établi dans l UE mais dans un lieu où la législation d un Etat membre s applique du fait du droit public international. Webinar GDPR & Privacy Shield 11/02/2016 9
Questions? Webinar GDPR & Privacy Shield 11/02/2016 10
Agenda Le nouveau règlement européen : 1. L'origine du règlement européen et le contexte dans lequel il intervient 2. Son champ d'application matériel et territorial 3. Ce qui va changer concrètement Les dernières nouvelles de l'accord EU/US sur le transfert de données à caractère personnel: le Privacy Shield Webinar GDPR & Privacy Shield 11/02/2016 11
3. Ce qui va changer concrètement A. Une responsabilisation accrue des acteurs économiques et une prise en main plus autonome du sujet de la protection des données au sein de l entreprise Webinar GDPR & Privacy Shield 11/02/2016 12
3. Ce qui va changer concrètement La suppression des formalités préalables Suppression de l'obligation générale de notification préalable avant tout traitement auprès de l'autorité compétente. Cette formalité est remplacée par l'obligation de la tenue d'une documentation sur les traitements et la réalisation (dans certaines circonstances) d'une étude d'impact pour les traitements présentant un risque élevé. Webinar GDPR & Privacy Shield 11/02/2016 13
3. Ce qui va changer concrètement Tenue d une documentation sur les traitements - Article 28 Le responsable de traitement et son représentant, le cas échéant, sont tenus d'établir une documentation de l'ensemble des traitements dont ils ont la responsabilité. Cette obligation s'applique également au sous-traitant. Cette obligation s'applique aux entreprises de plus de 250 personnes, sauf si le traitement présente un risque élevé, n'est pas occasionnel ou comprend des données sensibles En pratique la plupart des entreprises vont donc a priori devoir établir une telle documentation. Cette mission devra être exercée en concertation avec le futur délégué à la protection des données (DPO). Webinar GDPR & Privacy Shield 11/02/2016 14
3. Ce qui va changer concrètement Analyse d'impact relative à la protection des données - Article 33 Dans les cas où le traitement présente un risque élevé d'atteinte aux droits et libertés des individus, le responsable de traitement doit conduire une étude d'impact permettant d'évaluer le risque et de déterminer les mesures de sécurité adéquates propres à amoindrir celui-ci. Quelle définition donner à un risque élevé? Quels outils pour quels risques? Webinar GDPR & Privacy Shield 11/02/2016 15
3. Ce qui va changer concrètement La notion de finalité compatible - Article 6 Rappel des principes de licéité du traitement Introduction de la notion de "finalité compatible": le traitement de DCP pour une finalité autre que celles pour lesquelles elles ont été collectées peut être autorisé si cette nouvelle finalité est compatible avec les finalités initiales Comment apprécier la "compatibilité" des finalités? Quelles obligations pour le responsable de traitement lors de la mise en œuvre d'un traitement ultérieur? Webinar GDPR & Privacy Shield 11/02/2016 16
Questions? Webinar GDPR & Privacy Shield 11/02/2016 17
3. Ce qui va changer concrètement B. Une mutualisation des outils et des guides sur le traitement des données sous l autorité des autorités de protection des données Webinar GDPR & Privacy Shield 11/02/2016 18
3. Ce qui va changer concrètement Codes de conduite - Article 38 La consécration par le règlement des mécanismes de soft law. Des associations et autres organismes représentant des catégories de responsables de traitement ou de soustraitant peuvent élaborer des codes de conduite. Ils permettent la bonne application des dispositions du règlement en fonction de la spécificité des différents secteurs et les besoins spécifiques des entreprises de différentes tailles Quel est le rôle des autorités de protection dans l'élaboration de ces codes de conduite? Webinar GDPR & Privacy Shield 11/02/2016 19
3. Ce qui va changer concrètement Certification - Article 39 Des certifications et labels pourront être délivrés pour une période maximale de trois ans. La certification est volontaire et accessible via un processus transparent. Le Comité européen consigne l'ensemble des mécanismes de certification et labels. De telles certifications existent-elles déjà en France? Webinar GDPR & Privacy Shield 11/02/2016 20
3. Ce qui va changer concrètement Guichet Unique - Article 51 bis Une seule autorité de contrôle sera chargée de surveiller les activités d'un même responsable de traitement ou d'un sous-traitant, même s'il exerce son activité dans plusieurs Etats membres. L'autorité compétente sera celle de l'etat membre dans lequel le responsable de traitement, ou le sous-traitant, a son établissement principal. Quelles seront les modalités nécessaires à la mise en place de guichets uniques? Webinar GDPR & Privacy Shield 11/02/2016 21
3. Ce qui va changer concrètement Responsabilité conjointe des co-responsables - Article 24 Notion de coresponsables de traitement. Aménagement contractuel de leurs obligations respectives. La personne concernée par le traitement peut exercer ses droits à l'encontre de l'un ou de l'autre des coresponsables indépendamment de tout arrangement contractuel. Comment les coresponsables de traitement vont-ils se répartir la responsabilité en pratique? Webinar GDPR & Privacy Shield 11/02/2016 22
3. Ce qui va changer concrètement Rôle du sous-traitant - Article 26 Liste détaillée des obligations du soustraitant Liste détaillée des mentions devant figurer dans le contrat de soustraitance Description des modalités de recours à un second sous-traitant par le soustraitant initial Comment se répartit la responsabilité entre sous-traitant initial et second sous-traitant? Webinar GDPR & Privacy Shield 11/02/2016 23
Questions? Webinar GDPR & Privacy Shield 11/02/2016 24
3. Ce qui va changer concrètement C. Les droits des personnes renforcés Webinar GDPR & Privacy Shield 11/02/2016 25
3. Ce qui va changer concrètement Information des personnes physiques - Article 14 Les citoyens européens auront accès à plus d informations Informations fournies par le responsable de traitement Les personnes physiques doivent recevoir une information détaillée qui varie selon que les données ont été collectées directement auprès de la personne, ou par un autre moyen. Quelles nouvelles informations seront fournies par le responsable de traitement? Webinar GDPR & Privacy Shield 11/02/2016 26
3. Ce qui va changer concrètement Consentement Article 7 Lorsque le consentement de la personne est exigé, la charge de la preuve incombe au responsable de traitement Le consentement ne peut constituer un fondement juridique valable d'un traitement s'il existe un "déséquilibre manifeste" entre la personne concernée et le responsable de traitement. Le consentement peut être retiré à tout moment sans compromettre la licéité du traitement correspondant. Comment définir la notion de déséquilibre manifeste? Webinar GDPR & Privacy Shield 11/02/2016 27
3. Ce qui va changer concrètement Communication des violations de DCP aux personnes concernées Article 32 Lorsque la violation de DCP est susceptible d exposer les personnes physiques à un risque important au regard de leurs droits et libertés. Existe-t-il d'autres nouveautés sur les obligations de sécurité? Webinar GDPR & Privacy Shield 11/02/2016 28
3. Ce qui va changer concrètement Droit à l oubli - Article 17 Le GDPR consacre le droit à l oubli numérique, soit le droit pour chaque citoyen européen d obtenir la suppression de DCP le concernant dans certains cas limitatifs. Le règlement est-il compatible avec la jurisprudence sur le droit à l'oubli? Webinar GDPR & Privacy Shield 11/02/2016 29
3. Ce qui va changer concrètement Droit à la portabilité des données - Article 18 Chaque citoyen a le droit dans certains cas de recevoir les DCP le concernant et détenues par un responsable de traitement dans un format électronique structuré permettant de les transmettre à un autre responsable de traitement et d'être réutilisées par ce dernier. Dans quelles conditions s'applique ce droit? Webinar GDPR & Privacy Shield 11/02/2016 30
3. Ce qui va changer concrètement Réclamations et recours - Articles 73, 74 et 75 Droit d introduire une réclamation auprès d une autorité de contrôle, d exercer un recours juridictionnel contre une autorité de contrôle ou contre un responsable de traitement ou un sous-traitant. Webinar GDPR & Privacy Shield 11/02/2016 31
Questions? Webinar GDPR & Privacy Shield 11/02/2016 32
3. Ce qui va changer concrètement D. Les garants de l application du règlement Webinar GDPR & Privacy Shield 11/02/2016 33
3. Ce qui va changer concrètement La nouvelle fonction de délégué à la protection des données Articles 35 à 37 Désignation systématique dans certains cas Garant de la protection des données au sein de l entreprise, et interlocuteur privilégié pour l exercice des droits des personnes Quelle est la place du DPO dans l'entreprise? Webinar GDPR & Privacy Shield 11/02/2016 34
3. Ce qui va changer concrètement Le comité européen de la protection des données (EDPB) Article 64 Création de l'edpb qui a vocation à remplacer le G29 Veille à l'application cohérente du règlement Conseille la Commission européenne Publication de lignes directrices, recommandations et bonnes pratiques Favorise la coopération entre les autorités de contrôle Comment va s'opérer la transition entre le G29 et l'edpb? Webinar GDPR & Privacy Shield 11/02/2016 35
3. Ce qui va changer concrètement Sanctions - Article 79 Des sanctions particulièrement sévères Effectives, proportionnées et dissuasives. Maximum 10 000 000 euros ou 2% du chiffre d'affaires mondial ou 20 000 000 euros ou 4% du chiffre d'affaires mondial selon la nature du manquement aux règles de protection des données Webinar GDPR & Privacy Shield 11/02/2016 36
Questions? Webinar GDPR & Privacy Shield 11/02/2016 37
Autres points d'actualité Loi pour la modernisation de notre système de santé Projet de loi pour la République numérique Webinar GDPR & Privacy Shield 11/02/2016 38
Agenda Le nouveau règlement européen : 1. L'origine du règlement européen et le contexte dans lequel il intervient 2. Son champ d'application matériel et territorial 3. Ce qui va changer concrètement Les dernières nouvelles de l'accord EU/US sur le transfert de données à caractère personnel: le Privacy Shield Webinar GDPR & Privacy Shield 11/02/2016 39
Le nouvel accord Privacy Shield Le 2 février 2016, la Commission européenne a annoncé qu un nouvel accord avait été trouvé entre l Union européenne et les Etats-Unis sur les transferts de données personnelles. Cet accord s inscrit dans le contexte de la décision de la Cour de justice de l Union européenne «Schrems» du 06 octobre 2015 qui a prononcé l invalidité de l ancien accord sur le Safe Harbor. Webinar GDPR & Privacy Shield 11/02/2016 40
Le nouvel accord Privacy Shield Les termes annoncés du nouvel accord et la réaction du G29 Les conséquences à court terme sur les transferts de données personnelles: Sur les transferts de données personnelles encore effectués sur la base du Safe Harbor Sur les autres outils de transferts Webinar GDPR & Privacy Shield 11/02/2016 41
Nos prochains évènements Vidéo sur les Echos Business Articles / Focus Matinale Actualité des Données Personnelles le 22 mars 2016 Webinar GDPR & Privacy Shield 11/02/2016 42
En attendant https://www.dlapiper.com/en/uk/focus/data-protection/ Webinar GDPR & Privacy Shield 11/02/2016 43
Merci pour votre attention. Des questions? Jeanne.BossiMalafosse@dlapiper.com Jeanne.Dauzier@dlapiper.com Cecile.Gleysteen@dlapiper.com