RGPD. Le Règlement sur la protection. des données personnelles

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Les données à caractère personnel

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Règlement d INTERPOL sur le traitement des données

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Sur les informations traitées

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Directive cadre du groupe. Protection des données des clients et des partenaires.

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Commission nationale de l informatique et des libertés

Nathalie Métallinos Avocat à la Cour d'appel de Paris

DROIT AU DEREFERENCEMENT

Les fiches déontologiques Multicanal

Cadre juridique de la Protection des Données à caractère Personnel

1. Procédure. 2. Les faits

Loi n du relative à la protection des données à caractère personnel

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

France Luxembourg Suisse 1

Code de conduite Zoomit

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

Procédure Juridique de mise en place d une base de données biométriques

Déclaration des droits sur Internet

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

relative à l'informatique, aux fichiers et aux libertés (après adoption définitive par le Sénat du projet de loi la modifiant)

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

L EVALUATION PROFESSIONNELLE

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Conditions générales de vente et d utilisation de la plateforme MailForYou à compter du 27 janvier 2015

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Le Traitement des Données Personnelles au sein d une Association

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

UE 4 Comptabilité et Audit. Le programme

Big Data et le droit :

Protection des données et transparence dans le canton de Genève

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

PROTÉGER VOS BASES DE DONNÉES

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Big Data: les enjeux juridiques

Photos et Droit à l image

DOSSIER PREFECTURE ET CNIL MOINS DE 8 CAMERAS ET NE FILMANT PAS LA VOIE PUBLIQUE

COMMUNICATION POLITIQUE ObligationS légales

et développement d applications informatiques

CODE PROFESSIONNEL. déontologie

Être plus proche, mais pas à n importe quel prix

CONSULTATION PUBLIQUE SUR LA CREATION D UN REGISTRE NATIONAL DES CREDITS AUX PARTICULIERS

OTRT : Office Tchadien de Régulation des Télécommunications. Contrat de Bureau d enregistrement

«Marketing /site web et la protection des données à caractère personnel»

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

CONVENTION DE COMPTE DE DEPOT EN DEVISES

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Textes de référence : articles 223-1, et du règlement général de l AMF

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

JE MONTE UN SITE INTERNET

EX.CL/846(XXV) CONVENTION DE L UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

Délivrance de l information à la personne sur son état de santé

SITES INTERNET CREATION ET FONCTIONNEMENT D UN SITE INTERNET POUR UN LABORATOIRE DE BIOLOGIE MEDICALE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Quel cadre légal pour l exploitation des «Big data»? Jean-François Forgeron

Relations verticales au sein de la chaîne d'approvisionnement alimentaire: Principes de bonnes pratiques

Conditions Générales de Vente (site e- commerce)

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Conditions Générales d Utilisation

Ordonnance sur les ressources d adressage dans le domaine des télécommunications

Le commissaire aux comptes et le premier exercice d un nouveau mandat

Assurance prospection premiers pas (A3P)

Charte s Code relatif à la traçabilité de l adresse électronique en collecte directe et indirecte

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

Gestion des Incidents SSI

REGLEMENT D UTILISATION

(Document adopté par la Commission le 19 janvier 2006)

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

CONDITIONS GENERALES D ACHAT

Livret Matmut CONDITIONS D OUVERTURE ET DE FONCTIONNEMENT SOMMAIRE DISPOSITIONS PROPRES AU LIVRET MATMUT... 2

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

Conditions d'utilisation de la plateforme Défi papiers

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

CONDITIONS GENERALES DE VENTE

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Délibération n du 27 septembre 2010

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN V.1.

CONDITIONS GÉNÉRALES DE VENTE

(Grand Sceau de Sa Majesté Mohamed VI) A décidé ce qui suit : Fait à Fès, le 22 safar 1430 (18 février 2009).

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

CHARTE ETHIQUE ACHATS

Les questions juridiques importantes quand on lance une start-up

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

Transcription:

RGPD Le Règlement sur la protection des 6 mars 2018

Hamdi KAZANCI Expert - Droit des affaires

Introduction RGPD 173 considérants 99 articles 11 Chapitres Principe Toute collecte ou traitement de donnée permettant d identifier une personne Traitement automatisé ou non Responsabilisation des acteurs Date 25 mai 2018

Sommaire 1 Apports du RGPD Le champ d application Les principes généraux Le rôle et les obligations des acteurs du RGPD 2 Mise en conformité Méthodologie de la collecte L importance du consentement Transparence de la collecte 3 Feuille de route DPO / DPD Cartographie Registre du traitement / Analyse d impact Transferts hors UE

Sommaire 1 Apports du RGPD Le champ d application Les principes généraux Le rôle et les obligations des acteurs du RGPD 2 Mise en conformité Méthodologie de la collecte L importance du consentement Transparence de la collecte 3 Feuille de route DPO / DPD Cartographie Registre du traitement / Analyse d impact Transferts hors UE

Applicable ou pas? Le responsable du traitement ou le soustraitant est basé en UE RGPD est applicable lorsque Le traitement a lieu au sein de l UE ou pas Le traitement vise une personne située sur le territoire de l UE

Qu est-ce qu une donnée à caractère personnel? Nom email Pseudo «toute information se rapportant à une personne physique identifiée ou identifiable» Article 4

Qu est ce qu un traitement? Article 4 la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication ou la diffusion, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Les acteurs (article 4 ) Responsable de traitement La personne qui détermine la finalité et les moyens du traitement Destinataire Personne concernée par le traitement Sous-traitant Toute personne qui reçoit communication de données à caractère personnel Toute personne traitant des données pour le compte du responsable du traitement

Spécificité : les données sensibles Principe : interdiction de collecter les données «sensibles» Données génétiques ou biométriques Appartenance syndicale Santé / Vie sexuelle Convictions religieuses ou philosophiques Origine raciale ou ethnique Opinions politiques Exceptions (article 9) notamment : - consentement exprès de la personne concernée ; - traitements nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ; - traitements portant sur des données rendues publiques par la personne concernée ; - traitements nécessaires à la constatation, à l exercice ou à la défense d un droit en justice ; - traitements nécessaires pour des motifs d'intérêt public important.

Les principes généraux du traitement Licite, loyal et transparent Finalité, déterminé, explicite et légitime Le traitement de données doit être Adéquates, pertinentes et limitées Principe d exactitude des données et mise à jour Durée de conservation limitée Garantie de sécurité des données

Responsabilisation : des données protégées! Il doit pouvoir justifier auprès de l autorité de contrôle qu il a bien pris toutes les mesures nécessaires pour que les données qu il collecte et traite soient correctement protégées. Responsabilisation du responsable de traitement «Accountability» Conséquences : Un allégement des formalités administratives Les obligations déclaratives ne seront plus nécessaires Cela peut se faire par la mise en place «d outils» pour garantir une protection optimale des données

Sanctions CNIL Pouvoirs - Prononcer un avertissement ; - Mettre en demeure l entreprise ; - Limiter ou suspendre un traitement ; - Ordonner de satisfaire aux demandes d'exercice des droits des personnes ; - Ordonner la rectification, la limitation ou l'effacement des données. Sanctions administratives Selon l infraction : - de 10 ou 20 millions d euros, ou - de 2% jusqu à 4% du chiffre d'affaires annuel mondial

Sommaire 1 Apports du RGPD Le champ d application Les principes généraux Le rôle et obligations des acteurs du RGPD 2 Mise en conformité Méthodologie de la collecte L importance du consentement Transparence de la collecte 3 Feuille de route DPO / DPD Cartographie Registre du traitement / Analyse d impact Transferts hors UE

La méthodologie de la collecte Privacy by design / by default Consentement + informations (sauf exceptions) Principes d exactitude des données (+ m.à j.) Gestion des données (registre, PIA )

Privacy by default (art 25) Mise en place d une nouvelle organisation du traitement des données à caractère personnel avec un processus qui doit être appliqué systématiquement pour tout nouveau projet. Avec des mesures techniques garantissant une confidentialité automatique. Privacy by design (art 25) Dès le début de la conception, de veiller à ce que toute application, produit ou service traitant des données à caractère personnel offre le plus haut niveau possible de protection des données.

Privacy by default/design être proactif et non réactif, préventif, intégrée au système de traitement, chiffrement de bout en bout, transparence, pratique permettant de respecter la vie privée des utilisateurs (consentement, informations ).

Consentement (art 7) Le consentement doit être libre Démontré retirable Eclairé et univoque Exemples de consentements non valides : cases pré-cochées, tacite, silence, passif..

Contenu de l information (article 13 ) Identité du responsable du traitement / DPO Finalité du traitement Destinataires Transfert hors UE Durée de conservation Droits de la personne Prise de décision automatisée Sources des données Base juridique du traitement

Quels droits pour les personnes concernées? Rectification (art 16 ) Droit à la limitation (art 18) Notification des mises à jour (art 19) Effacement / oubli (art 17 ) Droits de la personne Portabilité (article 20) Accès et obtention d une copie (art 15 ) Information (art 12 à 14 ) D opposition pour motif légitime (art 21 )

CONSERVATION La durée doit être limitée au strict minimum c est-à-dire que les données ne doivent pas être conservées plus longtemps que la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées Droit à l effacement Les données ne sont plus nécessaires pour le traitement Retrait du consentement Traitement illicite Obligation légale

Anomysation Cela à pour but d'empêcher toute identification d'une personne physique de manière définitive. L'anonymisation doit avoir lieu : À la collecte Par un traitement spécifique dans un bref délai anonymisant les informations (une purge immédiate est nécessaire afin de rendre définitive l'anonymisation). Pseudonymisation La pseudonymisation permet de ne plus attribuer les informations collectées à une personne concernée sans un recours à des informations supplémentaires. Pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable..

Sécurité du traitement et déclaration des failles de sécurité Technique : fournisseurs, IRT (Incident Response Team) Non Report dans le Registre interne Identification des personnes en interne et externe Dispositif de veille Détection et remontée d alertes + en cas de risque élevé Incident avéré Oui Notification CNIL 72h Notification des personnes concernées dans les meilleurs délais

Transfert hors UE Principe: interdiction Transferts vers un pays tiers ayant un niveau de protection adéquat (art. 45) Transferts effectués avec des garanties appropriées (art. 46) L existence d un accord négocié dans le pays en question La signature de clauses contractuelles L adoption de codes de bonne conduite (ou BCR) Exceptions Autres dérogations pour des situations particulières Si la personne à laquelle se rapportent les données a consenti expressément à leur transfert OU Si le transfert est nécessaire notamment à : la sauvegarde de la vie de cette personne ; l'intérêt public ; l'exercice ou la défense d'un droit en justice

Sommaire 1 Apports du RGPD Le champ d application Les principes généraux Le rôle et obligations des acteurs du RGPD 2 Mise en conformité Méthodologie de la collecte L importance du consentement Transparence de la collecte 3 Feuille de route DPO / DPD Cartographie Registre du traitement / Analyse d impact Transferts hors UE

Feuille de route CARTOGRAPHIE Gestion des risques DOCUMENTATION DPO PRIORISER PROCESSUS INTERNE Source : www.cnil.fr

Externalisable Le Règlement sur la protection des DPO / DPD Nomination Obligatoire Facultatif Article 37 : - Les autorités ou les organismes publics - Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle - Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites «sensibles» ou relatives à des condamnations pénales et infractions.

DPO / DPD Missions Irresponsable

Feuille de route CARTOGRAPHIE Source : www.cnil.fr

Cartographie - Les traitements - Les catégories de données traitées - Les finalités - Les acteurs du traitement - Les transferts hors U.E Recenser Etude d impact - Risque élevé pour les droits et libertés des personnes - Avant de collecter les données et de mettre en œuvre leur traitement Inventaire

Feuille de route PRIORISER Source : www.cnil.fr

Limitation de la collecte Sécurisation Base juridique PRIORISER Droits des personnes Information Rôles (R.T ou Sous-traitant)

Feuille de route Gestion des risques Source : www.cnil.fr

Les analyses d impact sur la vie privée (AIVP/PIA) Quand réaliser une étude d impact? Si le traitement est susceptible d engendrer un risque élevé pour les droits et libertés des personnes physiques Requise Profilage Traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions. Si l analyse présente un risque élevé ET Si le responsable du traitement ne prend pas de mesures pour atténuer le risque Consultation de l'autorité de contrôle préalablement au traitement

Tenue d un registre des activités du traitement Le registre n est pas obligatoire sauf si : L organisme (groupe) dispose plus de 250 salariés Traitement susceptible de comporter un risque pour les droit des libertés des personnes (art 75 ) Il est occasionnel Il porte sur des catégories particulières de données

Le registre doit obligatoirement contenir : Responsable du traitement Sous-traitant Le nom, les coordonnées des sous-traitants et des responsables du traitement Les finalités et catégories du traitement Une description des catégories de personnes concernées et des catégories de données à caractère personnel Les destinataires Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale Les délais prévus pour l'effacement Une description générale des mesures de sécurité techniques et organisationnelles

Feuille de route PROCESSUS INTERNE Source : www.cnil.fr

Processus Interne Privacy by design / by default Gestion des failles de sécurité Organisation Synergie de groupe Gestion des réclamations

Feuille de route DOCUMENTATION Source : www.cnil.fr

Documentation interne Documentation sur les traitements Information des personnes Les contrats Registre des traitements clauses Sous-traitant PIA Recueil des consentements DPO externe Transfert hors UE (clause, BCR, certification) L exercice des droits

Merci de votre attention Vos questions

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back