Règlement européen relatif aux données personnelles : décryptage et conseils pour se préparer

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Les fiches déontologiques Multicanal

Big Data et le droit :

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

Quels sont les points clés pour réussir ses campagnes ing? 22 avril 2010

GROUPE DE TRAVAIL Données Clients & Prospects. Guide pratique du CIL pour l accompagnement d un projet de gestion de relation client (CRM)

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

«Marketing /site web et la protection des données à caractère personnel»

Nathalie Métallinos Avocat à la Cour d'appel de Paris

EMDAY by Clic et Site #emday2014. Charte V2 du CPA : Fonctionnement et conséquences pour la collecte d adresses

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Privacy is good for business.

Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions

Les questions incontournables pour. bien prospecter et bien communiquer LE GUIDE DE LA PROSPECTION

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

REGLEMENT DU GRAND JEU DE L ETE MITOSYL LINGETTES

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

CONDITIONS GENERALES DE VENTE


FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Le NOUVEAU PROGRAMME de BDD juxtaposée multicanal

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Les données à caractère personnel

L ASSOCIATION LOI 1901

Introduction. Jean-Philippe Thierry, vice-président de l ACP 27/06/2012. Banque de France - Autorité de Contrôle Prudentiel

Charte de déontologie SMS+ applicable au 01/10/2013

«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

Conditions d utilisation du service

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Communiquer avec l' ing: comment préparer une campagne de communication efficace?

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

Chartes SMS+ applicables au 01/04/2015

SCIENCES DU MANAGEMENT INGENIERIE DU MANAGEMENT METIERS DU MARKETING

CHARTE ETHIQUE ACHATS

ACCORD DE SOUS-LICENCE ET DE CERTIFICATION

Le Réseau Social d Entreprise (RSE)

CONTRAT D HEBERGEMENT DE SITE(S) INTERNET

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Atelier Fichier Client

PROJET D ARTICLES SUR LA RESPONSABILITE DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE

Biarritz Bordeaux Paris

PROJET D ARTICLES SUR LA RESPONSABILITE DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE

et développement d applications informatiques

Note d avertissement et d explication sur le SMS

Revue d actualité juridique de la sécurité du Système d information

Contrats Générales d utilisation et de vente de la solution Mailissimo

Les questions juridiques importantes quand on lance une start-up

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

COMMUNICATION POLITIQUE ObligationS légales

CHARTE ETHIQUE DE WENDEL

La légalité du «marketing viral»

Conditions Générales de Vente (site e- commerce)

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

DU CORRESPONDANT INFORMATIQUE ET LIBERTES

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

LIVRET SERVICE. Portail Déclaratif Etafi.fr

CERTIFICATION DES INSTITUTIONS APPLIQUANT LE CASE MANAGEMENT CRITÈRES DE QUALITÉ ET INDICATEURS DE CONTRÔLE

CONDITIONS GENERALES DE VENTE DU SITE PROTIFAST.COM

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Règlement d INTERPOL sur le traitement des données

Guide juridique de l'e-commerce et de l'e-marketing

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

ANNEXE 1 RECOMMANDATIONS DEONTOLOGIQUES APPLICABLES AUX SERVICES SMS+ / MMS+

CONDITIONS GENERALES DES BOITES POSTALES 1. DEFINITIONS

GUIDE PRATIQUE. Droit d accès

Livre blanc Compta La dématérialisation en comptabilité

LOI ECKERT : Des dispositions nouvelles sur les comptes bancaires inactifs et les contrats d assurance vie en déshérence

Guide juridique de l'e-commerce 7 règles à connaître pour la sécurisation juridique et la valorisation d'un site e-commerce

API HTTP DOCUMENTATION TECHNIQUE PLATEFORME SAAS D'ENVOI DE SMS. Version Mise à jour : 3 juillet 2015

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Conditions Générales d'utilisation du compte V lille

«Outils de gestion pour TPE CRM / ERP» Club

Banque européenne d investissement. Politique de signalement

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Comment capitaliser sur votre audience pour activer intelligemment vos plans médias et marketing?

RÈGLEMENT. sur la collaboration avec les intermédiaires

DIRECTION DES ACHATS RESPONSABILITÉ SOCIALE ET ENVIRONNEMENTALE. Ensemble, agissons pour des achats responsables

COURRIER ELECTRONIQUE : LES REGLES DE L'OPT-IN

Partie I Stratégies relationnelles et principes d organisation... 23

Nous constatons de nos jours

France Luxembourg Suisse 1

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Commission nationale de l informatique et des libertés

La légalité du marketing viral

Problématique. Aucun spécialiste du marketing ne peut aujourd'hui ignorer le cadre juridique complexe du commerce électronique

P0 AUTO-ENTREPRENEUR DECLARATION DE DEBUT D'ACTIVITE RESERVE AU CFE U

1. Procédure. 2. Les faits

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Transcription:

Règlement européen relatif aux données personnelles : décryptage et conseils pour se préparer Partagez en direct vos réactions sur TWITTER avec #conext @Sncdmulticanal

Présentation Sncd Emailing, sms, retargeting 2

Présentation Sncd Des prestataires engagés Veille, déontologie et échange de bonnes pratiques Promotion des techniques et métiers Représentation institutionnelle et défense des métiers Assistance et formation : Informatique et libertés, Convention collective, RSE Un réseau et du networking Études et interventions d experts 3

en bref : Situé à Lille (Parc Euratechnologies) et Paris Propriété intellectuelle (Droit d auteur, Marques, Brevets, Bases de données) Nouvelles technologies (Protection des données personnelles, Contrats Informatiques, Consommation)

en bref :

Les mutations en cours Données personnelles Numérique Aujourd hui Directive 95/46/CE (protection des données personnelles) Loi I&L CPCE Art 32-II I&L Directive e-privacy 2002/58/CE (prospection électronique) Révisée en 2009 avec le Paquet Telecom 2009/136/CE (cookies) Demain Règlement européen 2016/679 sur les données personnelles Adopté le 27 avril 2016 Applicable 25 mai 2018 Règlement européen venant réviser la Directive e-privacy (prospection électronique, cookies, tél., BtoB ) Prévu pour l automne 2017 Objectif : Applicable 25 mai 2018 mais réaliste 2019 Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 6

Chronologie L adoption du Règlement européen 4 ans 2 ans Proposition Commission Adoption Parlement Adoption Conseil de l UE Adoption Trilogues Adoption en plénière JO Entrée en vigueur Application Janv. 2012 Mars 2014 Juin 2015 Déc. 2015 27 Avril 2016 4 Mai 2016 24 Mai 2016 25 Mai 2018 25 mai 2018 Entrée en application Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 7

L adoption du Règlement européen Directive 95/46 GDPR Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 8

L adoption du Règlement européen On retrouve dans le GDPR les mêmes chapitres que dans la loi I&L, hormis les formalités préalables Rien ne change dans les principes, tout change, dans la pratique Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique Copyright La Poste 9

De nouvelles obligations De nouvelles obligations pour les Responsables de traitement et les Sous-traitants Devoir de conseil Co responsabilité Accountability Documentation / registres Obligatoire pour sociétés >250 employés, traitements à risque, données sensibles, traitements non occasionnels Preuve du respect du Règlement Privacy by design & by default Protection dès la conception (pseudonymisation, minimisation) Protection par défaut : traitement et accès aux seules données nécessaires Analyses d impact Évaluation des risques avant mise en œuvre : traitement, finalité, risques, mesures de protection Obligatoires pour données sensibles, profilage avec effets juridiques Liste des traitements concernés à préciser (Cnil) DPO Nouveau CIL Interne ou externe Obligatoire pour administrations, données sensibles, activités qui impliquent un suivi régulier systématique et à grande échelle Conseillé pour toutes les entreprises Rôle : information, conseil, contrôle Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 10

Une exigence de sécurité renforcée Des mesures pour assurer la sécurité des données o Des techniques favorisées : pseudonymisation et chiffrement o Un objectif réaffirmé : confidentialité, intégrité, disponibilité, résilience o Un objectif dans le temps : tests, analyses et évaluations régulières o Le plus : adhésion Code de conduite, certification La notification des violations de sécurité o Notification du responsable de traitement par le sous-traitant o Information de l autorité de contrôle sous 72h, sauf en l absence de risque pour les individus o En cas de risque élevé, information des personnes concernées dans les meilleurs délais, sauf mesures adaptées ou efforts disproportionnés Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 11

Une exigence de sécurité renforcée La sécurité informatique repose sur des solutions techniques et organisationnelles : o Techniques o Sécurisation du parc machine, des logiciels et des flux o Traçage, historiques d accès o Pseudonymisation et chiffrement des données o Niveaux d accès et mots de passe o Pas de transfert de fichier en clair, envoi du fichier et du mot de passe par des canaux différents o Organisationnelles o Sensibilisation du personnel, audit, processus, mise en œuvre, suivi... o Mesures pour le respect de la confidentialité par le personnel (clauses dans les contrats de travail, charte d entreprise ) o Choix du prestataire, contrôle de ses process physiques et logiques Cf. Guide sécurité de la Cnil Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 12

Le consentement et les autres fondements Définition : «manifestation de volonté libre, spécifique, éclairée [informed] et univoque [unambiguous]», «acte positif clair» Le consentement n est pas requis pour la prospection en général La prospection est toujours reconnue comme intérêt légitime, fondement du traitement des données C est la directive e-privacy qui impose un consentement pour l emailing (hors produits analogues et hors BtoB en France) et un accord pour les cookies Pas de consentement requis pour les autres canaux du MD (postal, téléphone) opt out Régime de l emailing Révision directive e-privacy Prospection Intérêt légitime Cookies Bloctel Robinson Consentement Accord Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 13

DEMARCHE

LOYAUTÉ ET TRANSPARENCE : Information des personnes Art 32 I LIL COLLECTE DIRECTE : Information au moment de la collecte Art 13 RGPD COLLECTE DIRECTE: Information au moment de la collecte Identité du responsable du traitement et, le cas échéant, de celle de son représentant L identité et coordonnées du responsable de traitement et le cas échéant du Data Protection Officer ou cas de collecte indirecte l origine des données La finalité poursuivie par le traitement auquel les données sont destinées La finalité du traitement (et les éventuelles finalités ultérieures) Les destinataires ou catégories de destinataires des données Les destinataires des données ou catégories de destinataires des données Du caractère obligatoire ou facultatif des réponses et les conséquences éventuelles, à son égard, d'un défaut de réponse Le caractère réglementaire ou contractuel du traitement et les conséquences du refus de renseigner ses données Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne L existence ou l intention de réaliser un transfert hors UE Les droits des personnes : accès, rectification, opposition et de définir des directives post-mortem Les droits des personnes (accès, rectification, effacement, limitation, opposition, portabilité et introduire une réclamation devant la CNIL) Depuis octobre 2016, la durée de conservation ou les critères utilisés pour déterminer la durée Néant La durée de conservation ou les critères utilisés pour la déterminer ou les critères utilisés pour déterminer cette durée La base juridique du traitement (tels que le consentement ou les intérêts légitimes du responsable) Néant L existence d une prise de décision automatisée (profilage)

LOYAUTÉ ET TRANSPARENCE: Information des personnes Art 32 III LIL COLLECTE INDIRECTE : Information dès l enregistrement des données ou lors de la première communication des données Art 14 RGPD COLLECTE INDIRECTE: dans un délai d un mois ou au moment de la première communication ou encore lorsqu elles sont transmises pour la première fois Identité du responsable du traitement et, le cas échéant, de celle de son représentant L identité et coordonnées du responsable de traitement et le cas échéant du Data Protection Officer ou cas de collecte indirecte l origine des données La finalité poursuivie par le traitement auquel les données sont destinées La finalité du traitement (et les éventuelles finalités ultérieures) Les destinataires ou catégories de destinataires des données Les destinataires des données ou catégories de destinataires des données Du caractère obligatoire ou facultatif des réponses et les conséquences éventuelles, à son égard, d'un défaut de réponse Le caractère réglementaire ou contractuel du traitement et les conséquences du refus de renseigner ses données Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne L existence ou l intention de réaliser un transfert hors UE Les droits des personnes : accès, rectification, opposition et de définir des directives post-mortem Les droits des personnes (accès, rectification, effacement, limitation, opposition, portabilité et introduire une réclamation devant la CNIL) Depuis octobre 2016, la durée de conservation ou les critères utilisés pour déterminer la durée Néant La durée de conservation ou les critères utilisés pour la déterminer ou les critères utilisés pour déterminer cette durée La base juridique du traitement (tels que le consentement ou les intérêts légitimes du responsable) Néant L existence d une prise de décision automatisée (profilage) Néant La source d où proviennent les données

LA SECURITE DANS LE RGPD : Art 32 Les débiteurs de l obligation Le responsable de traitement Le responsable conjoint de traitement Le sous-traitant Les mesures techniques et organisationnelles Obligation de protection des données dès la conception Obligation de protection des données par défaut Les mesures destinées à mettre en œuvre les principes relatifs à la protection des données La pseudonymisation, le chiffrement, la minimisation La confidentialité, l intégrité, la disponibilité, la résilience Les testes et évaluations régulières des mesures techniques et organisationnelles adoptées

SECURITE ET CONFIDENTIALITE DES DONNEES «En cas d atteinte à la confidentialité de données bancaires, la société ne saurait s exonérer de sa responsabilité en se retranchant derrière des erreurs humaines» Délibération de la formation restreinte n 2014-299 du 7 août 2014 Le support et les modalités de communication des informations aux tiers indiqués dans la déclaration sont-ils fixés? (pas de fichier de données personnelles par mail) Les contrats avec les prestataires obligent-ils ceux-ci aux règles de sécurité imposées par la loi Informatique & Libertés?

DROIT DES PERSONNES LIL RGPD Droit d accès Droit d accès Droit d opposition Droit d opposition Droit de rectification Droit de rectification Droit à l effacement Droit à l effacement Droit à la limitation Droit à la portabilité

Accountability Allègement apparent des formalités Formalités limitées auprès de la CNIL Mais nécessité de tenir un registre des activités de traitement pour les entreprises de plus de 250 salariés Mais des obligations renforcées Privacy by default & by design : déployer des process permettant de tenir compte de la protection des données dès la conception et par défaut Obligation de sécurité renforcée pour les responsables de traitements et les sous-traitants Notification obligatoire des failles de sécurité (RT et ST)

Accountability : repenser l organisation de la conformité Cela suppose d appliquer la règle des 4 P Pilote(s) : Equipe conformité et DPO Politique de protection des données Process documentés Preuves et traçabilité

Modification des relations donneur d ordre/sous-traitant Face à un sous-traitant En tant que sous-traitant Vérifier les garanties concrètes offertes par le ST en matière de protection des données Respecter les nouvelles obligations à la charge du ST: notification des violations, registre, DPO Encadrer les relations avec le ST par le biais d un contrat écrit comportant les exigences écrites Recruter uniquement des ST qui offrent des garanties concrètes quand à la protection des données Vérifier qu il respecte les nouvelles obligations mises à sa charge Devoir d alerte A savoir : La violation de ces obligations pourra faire l objet d une amende administrative pouvant s élever jusqu à 2% du CA

Autorités de contrôle et sanctions Les Cnil nationales Plaintes et sanctions Coopération renforcée entre les Cnil, One stop shop «European Data Protection Board» Transferts internationaux de données Amende administrative jusqu à 20 millions d ou 4% du chiffre d affaires annuel mondial (groupe) Droit à réparation de la personne qui a subi un dommage Actions de groupe possibles Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 23

Anticiper sa mise en conformité Adapter/initier sa politique de gouvernance des données Désigner un pilote CIL, DPO Prioriser Sensibiliser les directions (générale, informatique, juridique, marketing) et les équipes Cartographier les traitements et données (données, finalités, durée conservation, flux, destinataires ) Registres, approche par les risques Réaliser des études d impact Former ses équipes Penser certification, codes de conduite Documenter la conformité Registres, process, décisions Copyright Copyright Sncd Sncd - Reproduction - Reproduction interdite interdite Document Document à à titre titre illustratif illustratif sans sans valeur valeur juridique juridique Mettre en place des process Contrats RT/ST, mentions Durées de conservation, archivage Flux transfrontières Gestion des droits des personnes Sécurité : mesures techniques et organisationnelles, pseudonymisation, chiffrement Gestion des violations de sécurité 24

Pour plus d informations Participez à la formation GDPR du Sncd Niveau initiation : vous avez connaissance succincte du GDPR et souhaitez améliorer sa compréhension Objectifs de la formation : o Comprendre les enjeux du GDPR et ses notions essentielles o Anticiper ses impacts sur votre métier et votre organisation o Vous adapter à vos nouvelles obligations o Mener les premières actions de mise en conformité o Comprendre le rôle du DPO Public concerné : vous gérez un CRM ou une base de données mutualisée, vous collectez des données sur internet (cookies, email, adresse postale ), vous hébergez des fichiers, vous utilisez des données pour réaliser les opérations de vos clients Intervenante : Nathalie PHAN PLACE, Secrétaire Générale du Sncd et coprésidente de la commission Juridique & Déontologie Prochaine date : 1 er février 2018 de 9h30 à 12h30 et de 14h à 18h Pour plus d informations, rendez-vous sur notre site rubrique «Formation GDPR» Copyright Sncd - Reproduction interdite Document à titre illustratif sans valeur juridique 25

Nous contacter info@sncd.org 01 55 43 06 11 Merci!

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back