Upload
np6
View
308
Download
2
Embed Size (px)
Citation preview
Partenaire technologique et analytique des
services marketing des entreprises.
Subject matter | Client Details
Page 1© Bird & Bird LLP 2017
© Bird & Bird LLP 2017
ATELIER DE FORMATION GDPR
Se préparer à la nouvelle règlementation GDPR
Par Mérav Griguer
Avocat associée
Octobre 2017
1. Le nouveau Règlement européen (GDPR): plus que 7 mois pour se mettre enconformité !
Les fondamentaux
Page 4
A. Quoi ?
Qu’est-ce qu’une donnée à caractère personnel ?
Toute information relative à une personne physique identifiée ou identifiable de
manière directe ou indirecte
• Concerne toute personne physique : salariés, clients, prospects, prestataires,
fournisseurs, sous-traitants, etc.
• Exemples : nom, prénom, date de naissance, adresse
du domicile, adresse fiscale, identité bancaire, situation professionnelle, revenus,
patrimoine, logs de connexion, adresse IP, matricule salarié, photographie, etc.
Page 5
A. Quoi ?
Qu’est-ce qu’un traitement de données à caractère personnel ?
« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données ou des ensembles de données à caractère
personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la
conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, la diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la
destruction ».
(Définition du nouveau Règlement européen)
• Exemples : « tenue des comptes clients », « lutte contre la fraude », « octroi et
gestion des crédits ou prêts consentis à des personnes physiques », « suivi des
activités relatives aux instruments financiers », « établissement et mise à jour des
listes d'initiés », etc.
Page 6
A. Quoi ?
Idées reçues : « je ne suis pas concerné(e) car ...
• Je n'ai qu'un fichier papier, je n'enregistre pas les données sur mon ordinateur »
• Je ne traite aucune donnée, c'est mon prestataire qui le fait »
• Je me contente de lire et consulter les informations »
• Je n'utilise pas de logiciel, seulement un tableau ou document word, excel »
• Je fais uniquement une copie par scan que je garde sur mon ordi »
• Je ne collecte pas des données sensibles ou qui portent atteinte à la vie privée »
• Je ne collecte pas les noms et prénoms »
• Je ne collecte et traite que des données qui concernent des personnes morales »
• Je ne collecte que des données financières »
• Je ne collecte que des données techniques (adresse IP, URL, données de
connexion, etc...) »
• J'anonymise les personnes qui ne sont désignées que par un
matricule/numéro/code »
• Je ne collecte que des données "publiques" trouvées sur internet »
• Je collecte uniquement des données professionnelles sur les salariés ou clients »
Page 7
Qui ?
● Responsable de traitement : personne qui détermine les finalités et les moyens du traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du responsable de traitement
Subject matter | Client Details
Page 8© Bird & Bird LLP 2017
B. Jusqu'où ?
Champ d'application territorial
Responsable de traitement ou sous-traitant établi sur le territoire de l'UE
- ... même si le traitement est réalisé en pratique hors de l'UE !
Responsable de traitement ou sous-traitant établi en-dehors de l'UEmaistraitement de données relatives à des personnes situées dans l'UE
- Traitement lié à l'offre de biens ou de services à ces personnes (rémunérée ou non)
- Traitement lié au suivi au du comportement de ces personnes dans l'UE
Page 9
Page 10
C. Pourquoi ?
Sanctions pénales
Sanctions administratives de la CNIL
Avertissement qui peut être rendu public
Demande de suspension du traitement
• risque de désorganisation de l’entreprise, baissed’activité, frein à la compétitivité, coût financier, etc.
Retrait de l’autorisation accordée par la CNIL
Mise en demeure de cesser l’infraction
Sanction pécuniaire
• Aujourd'hui: jusqu'à 3 millions d'euros
• Demain: jusqu'à 20 millions d'euros ou 4% du chiffred'affaires annuel mondial
Publicité des sanctions
Ce qui change
Page 12
Augmentation des sanctions
GDPR – Nouveau règlement européen d'application directe en mai 2018
Cas de violations Sanctions Financières
1ere catégorie :
● Manquement à l'obligation de traitement loyal des données collectées, traitement de données sensibles ;
● Absence d'information / consentement,
● Manquement aux droits d'accès, de rectification, d'opposition, au droit à l'oubli, au droit à la portabilité des données… ;
● Non respect des règles relatives au transfert de données à caractère personnel dans un pays tiers ;
● Non respect d'une injonction de la CNIL.
Jusqu'à 4% du chiffre d'affaires mondial annuel
de l'entreprise
20 millions d'€ pour les autres
2nde catégorie :
Les autres manquements : défaut de tenue du registre des traitements ; absence de notification d'une faille de sécurité, manquement à l'obligation de sécurité, absence de "Privacy by design", absence d'étude d'impact, non-désignation d'un délégué à la protection des données personnelles….
Jusqu'à 2% du chiffre d'affaires mondial annuel
de l'entreprise
10 millions d'€ pour les autres
Nouvelle loi Informatique
et Libertés (issue de la loi
Lemaire) :sanctions de la CNIL jusqu'à 3
millions d'euros
+ Class Action
Actions de groupe
Page 13
● Déjà présentes dans la loi Informatique et Libertés depuis novembre 2016
Permettent de faire cesser le manquement à la loi I&L
Dommages et intérêts ?
● GDPR prévoit la possibilité de se faire représenter individuellement par un organisme, une organisation ou une association afin d'obtenir réparation (art. 80)
E-reputation
Page 14
20.000 € 10.000 €
45.000 €
Avertissement public
50.000 €
20.000 €15.000 €
Avertissement public
Avertissement public Avertissement
public
Avertissement public
40.000 €40.000 €
E-reputation
Page 15
Avertissement public
100.000 €, 150.000 € …
150.000 €
Page 16
E-reputation
Mise en demeure publique
Avertissement public
Page 17
ROI
Communication / Image de marque
Critère de distinctivité
Argument commercial
https://www.youtube.com/watch?v=Evahh1PXJIg
Avantage concurrentiel / Appels d'Offres
D. Comment ?
5 règles fondamentales à respecter
1. Traiter les données à caractère personnel (DP) pourune finalité déterminée et légitime
2. Collecter les DP strictement nécessaires et adéquatesà chaque finalité poursuivie
3. Informer et respecter le droit des personnes dont lesDP sont traitées
4. Limiter la durée de conservation des DP à laréalisation de la finalité poursuivie
5. Assurer la sécurité physique des locaux, la sécuritélogique des SI et la confidentialité des DP
Page 18
Page 19
Les piliers de la protection des données
Sécurité & Confidentialité
Droit des personnes
Privacyby design/ by default
Base légale
Politiques et procédures PIA
Gouvernance & Management des
données
● Anticiper et mettre en place des programmes de conformité afin d'être prêt au 25 mai 2018
Premières opérations de contrôle par les autorités de protection des données
Page 20
Les nouvelles obligations
Nouveaux droits
Notification des violations
New OPT-IN
Co-responsab
ilité
DPO
Information renforcée
PIA
Privacy by design/ by
default
Registres de
traitements
Focus sur les impacts du GDPR
Page 22
Focus : Obligation de désigner un DPO
• Les organismes et autorités publics
• Les entreprises privées…
• Si leurs activités de base consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
• Si leurs activités de base consistent en des traitements à grande échelle de données sensibles ou de données relatives aux condamnations et infractions
• Les responsables de traitements comme les sous-traitants !
• Pour les entreprises n'entrant pas dans ces critères, la désignation d'un DPO est toutefois fortement recommandée
Qui est concerné ?
• Désignation sur la base de ses qualités professionnelles et de ses connaissances spécialisées de la législation et des pratiques
• Indépendance – absence de conflits d’intérêts – secret professionnel
• Mutualisation et externalisation : possible sous conditions
Comment choisir son DPO ?
Page 23
Focus : Le registre des traitements
Tenue du Registre (Art. 30 du GDPR) :
Obligation d'élaborer et de tenir à jour le registre de tousles traitements
Remplace les déclarations auprès de l'autorité de contrôledans la majeure partie des cas
S'applique à la fois aux responsables de traitements et auxsous-traitants
Le registre devra pouvoir être communiqué à la CNIL surdemande
Focus : Les droits des personnes
Droits dont disposent les personnes concernées
Droit d’information et droit d’accès à leurs données
Droit de modification et de suppression de leurs données (ex.: si inexactitudes ou sifin de la relation)
Droit d’opposition au traitement pour des motifs légitimes (ex.: image pourtrombinoscope versus image pour badge de sécurité)
Droit à l’oubli, i.e. « le droit de changer d’avis et de changer de vie »
Droit à la portabilité des données*
Droit à la limitation des traitements
Droit de définir des directives relatives au sort de ses données personnelles après samort (testament numérique)*
* LRN
Page 24
Page 25
Focus : Le consentement
Nouvelle définition
Un acte positif clair qui exprime de façon libre, spécifique, éclairée et univoquel'accord de la personne concernée
• qui doit être donné pour chaque finalité
• qui doit pouvoir être retiré aussi simplement qu'il a été donné
Exemples de consentement non valide :
• silence de la personne
• cases pré-cochées
• absence d'action
• déséquilibre manifeste entre la personne concernée et le responsable detraitement
• lien de subordination
• contrats d'adhésion, etc.
Page 26
Focus : Les études d'impact (PIA)
● Obligatoire pour certains traitements particuliers
• Profilage (ex. : scoring)
• Traitement à grande échelle de données sensibles
• Surveillance systématique et à grande échelle d'une zone accessible au public
• Tout autre traitement listé comme tel par l'autorité de contrôle("traitements les plus risqués")
● Méthodologie publiée dès 2012 par la CNIL (dernière MAJ : 2015) – à suivre
● Mise en place d'un "bac à sable" par la CNIL – à suivre
Privacy by design
Page 27Subject matter | Client Details© Bird & Bird LLP 2017
● Se traduit par « protection des données dès la conception »
● Mise en œuvre des mesures techniques et organisationnelles permettant d'assurer une protection des données au début, et tout au long, du cycle de vie d'une application ou solution
● Exemples de mesures:
• Minimisation des données collectées
• Ajout d'un contrôle pour recueillir le consentement de la personne
• Ajout des mentions d'information sur l'interface graphique
• Chiffrement des données lorsque nécessaire
• « Pseudonymisation » : remplacement d'une donnée à caractères personnel par un pseudonyme
• Suppression automatique des données à la fin de leur durée de conservation
Privacy by default :
Ne collecter et traiter, par défaut,
qu'exclusivement lesdonnées à caractère
personnel strictement nécessaires à la
finalité poursuivie par le traitement.
La monétisation des données
Page 28
Valorisation interne
● Nouvelle définition du profilage : "toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique"
• Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation desrendements, scoring…
● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre
● Monétisation : valorisation des données par l'entreprise qui les détient
• … soit dans le cadre de sa propre activité (big data, profilage)
• … soit par leur partage avec des tiers (vente de fichiers, mise à disposition)
Le profilage
Page 29
Traitement de données
automatisé,
pour évaluer, prédire, analyser
des personnalités, des comportements
PROFILAGE
● Information de la personne concernée sur l'existence du profilage, sa logique sous-jacente et ses conséquences prévues (art. 13)
● Droit de s'opposer au profilage lié à des fins de prospection (art. 21)
● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et affectant de manière significative la personne concernée (art. 22)
• PIA obligatoire pour ces traitements (art. 35)
Le profilage et la publicité ciblée
Page 30
Stockage et accès aux cookies
Profilage (traitement
des données)
Envoi de communications
commerciales
Opt-in
Opt-in
Opt-in
Opt-out(au-delà de la première vente, pour des produits ou services analogues)
● Articulation du GDPR et du Code des Postes et des Communications Electroniques
• Utilisation de cookies : consentement obligatoire de l'utilisateur (opt-in)
• Envoi de communications commerciales : consentement obligatoire (opt-in) sauf exception pour l'offre de produits et services analogues à ceux déjà vendus (opt-out)
● Proposition de règlement"e-Privacy" du 10 janvier 2017 : harmonisation de ces règles dans toute l'UE
La violation des données
• 177.300 cyberattaques quotidiennes à travers le monde
• Plus de 8 entreprises sur 10 ont déjà été victimes de cyberattaque
• 5 à 10 % du budget d’une entreprise consacré à la cybersécurité
• Plus de 35% des incidents de cybersécurité ont été générés par des collaborateurs
Subject matter | Client Details
Page 31© Bird & Bird LLP 2017
Page 32© Bird & Bird LLP 2017
Cybersecurité et vous ?
• Sondage
Avez-vous un mot de passe suffisamment sécurisé ?
https://www.youtube.com/watch?v=opRMrEfAIiI
https://youtu.be/opRMrEfAIiI
Page 33© Bird & Bird LLP 2017
Mesures et actions à mettre en place
• Mesures de prévention et limitation des risques
- Audit des politiques, procédures et pratiques
- Formation du personnel utilisateur
- Formation du personnel admin
- Audit des contrats (cloud)
- Assurance
• Anticipation de gestion de crise en cas d'incidents/de failles de sécurité ou violation des données
- Respect réglementation applicable: procédure de prévention et gestion des incidents
- Communication interne et externe
- Investigations pour identifier la cause / l'auteur
Page 34
Transferts internationaux
● Pays reconnus par la Commission Européenne comme offrant unniveau de protection adéquat (transferts autorisés)
• Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey,Nouvelle-Zélande, Suisse, Uruguay
● Pour les autres pays, prévoir des garanties par contrat (clausesstandard de l'UE), BCR, Privacy Shield
• Privacy Policy
• Procédure de gestion des plaintes
• Programmes de formation des salariés à la Protection des Données
• Procédures d'audit et programmes d'audit
• Contrat inter-entreprises
Page 35
Obligations et responsabilités partagées
TO DO
Audit complet des contrats pour clarifier la qualification des parties
Revue et mise à jour des clauses clés
Intégration des clauses obligatoires
Responsable de traitementData controller
Responsable de traitementData controller
Responsable de traitementData controller
Sous-traitantData processor
● Responsable de traitement : personne qui détermine les finalités et les moyens du traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du responsable de traitement
Comment NP6 gère sa mise en conformité et opère la protection de vos données ?
Subject matter | Client Details
Page 36© Bird & Bird LLP 2017
2. Plan d'actions
Timeline – Plan d'actions de mise en conformité
2017 2018
Entrée en applicationDeadline
Etat des lieux -Audit des
traitements et identification des points de
non-conformité à corriger
Définition d'un
référentiel des durées de
conservation
Finalisation documentation
obligatoire
Analyse et adaptation des
mentions d'information obligatoires
Nouveaux droits (limitation,
portabilité, droit à l'oubli…)
Aujourd'huiFormation
GDPR
Réunion Groupe de travail
constitué du futur réseau du DPO + adoption du programme
de conformité au GDPR
Transferts de données hors UE
Privacy by design
Instruments d'accountability
Mai AvrilMarsFévrierJanvierDécembreNovembreOctobre
Nomination du futur
DPO
Etudes d'impact
Revue des typologies de contrats pour
intégration et encadrement de la coresponsabilité responsable de
traitement / sous-traitant
Registre(s) des
traitements
Opérations de formation et de
sensibilisation du personnel
Découvrez les prochains rendez-vous NP6 !
Subject matter | Client Details
Page 39© Bird & Bird LLP 2017
Merav GriguerAvocat Associée
Direct +33 1 42 68 6706
Mob +33 6 16 71 1485
@MeravGriguer
Merci !
www.np6.com