(re)Découvrez les impacts du Règlement Général sur la Protection des Données (RGPD) sur votre activité grâce à l’analyse et aux recommandations de notre partenaire, le cabinet international Bird & Bird.
Le RGPD, Règlement Général sur la Protection des Données (en anglais GDPR : General Data Protection Regulation) sera d’application directe le 25 Mai 2018. Il a pour objectif de renforcer et unifier la protection des données à caractère personnel. Il ne reste donc à présent que quelques mois aux entreprises pour repenser leur gouvernance en matière de protection des données personnelles et se mettre en conformité au RGPD.
5. A. Quoi ?
Qu’est-ce qu’une donnée à caractère personnel ?
Toute information relative à une personne physique identifiée ou identifiable de
manière directe ou indirecte
• Concerne toute personne physique : salariés, clients, prospects, prestataires,
fournisseurs, sous-traitants, etc.
• Exemples : nom, prénom, date de naissance, adresse
du domicile, adresse fiscale, identité bancaire, situation professionnelle, revenus,
patrimoine, logs de connexion, adresse IP, matricule salarié, photographie, etc.
Page 5
6. A. Quoi ?
Qu’est-ce qu’un traitement de données à caractère personnel ?
« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données ou des ensembles de données à caractère
personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la
conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, la diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la
destruction ».
(Définition du nouveau Règlement européen)
• Exemples : « tenue des comptes clients », « lutte contre la fraude », « octroi et
gestion des crédits ou prêts consentis à des personnes physiques », « suivi des
activités relatives aux instruments financiers », « établissement et mise à jour des
listes d'initiés », etc.
Page 6
7. A. Quoi ?
Idées reçues : « je ne suis pas concerné(e) car ...
• Je n'ai qu'un fichier papier, je n'enregistre pas les données sur mon ordinateur »
• Je ne traite aucune donnée, c'est mon prestataire qui le fait »
• Je me contente de lire et consulter les informations »
• Je n'utilise pas de logiciel, seulement un tableau ou document word, excel »
• Je fais uniquement une copie par scan que je garde sur mon ordi »
• Je ne collecte pas des données sensibles ou qui portent atteinte à la vie privée »
• Je ne collecte pas les noms et prénoms »
• Je ne collecte et traite que des données qui concernent des personnes morales »
• Je ne collecte que des données financières »
• Je ne collecte que des données techniques (adresse IP, URL, données de
connexion, etc...) »
• J'anonymise les personnes qui ne sont désignées que par un
matricule/numéro/code »
• Je ne collecte que des données "publiques" trouvées sur internet »
• Je collecte uniquement des données professionnelles sur les salariés ou clients »
Page 7
9. B. Jusqu'où ?
Champ d'application territorial
Responsable de traitement ou sous-traitant établi sur le territoire de l'UE
- ... même si le traitement est réalisé en pratique hors de l'UE !
Responsable de traitement ou sous-traitant établi en-dehors de l'UE mais
traitement de données relatives à des personnes situées dans l'UE
- Traitement lié à l'offre de biens ou de services à ces personnes (rémunérée ou non)
- Traitement lié au suivi au du comportement de ces personnes dans l'UE
Page 9
10. Page 10
C. Pourquoi ?
Sanctions pénales
Sanctions administratives de la CNIL
Avertissement qui peut être rendu public
Demande de suspension du traitement
• risque de désorganisation de l’entreprise, baisse
d’activité, frein à la compétitivité, coût financier, etc.
Retrait de l’autorisation accordée par la CNIL
Mise en demeure de cesser l’infraction
Sanction pécuniaire
• Aujourd'hui: jusqu'à 3 millions d'euros
• Demain: jusqu'à 20 millions d'euros ou 4% du chiffre
d'affaires annuel mondial
Publicité des sanctions
12. Page 12
Augmentation des sanctions
GDPR – Nouveau règlement européen d'application directe
en mai 2018
Cas de violations Sanctions Financières
1ere catégorie :
● Manquement à l'obligation de traitement loyal
des données collectées, traitement de données
sensibles ;
● Absence d'information / consentement,
● Manquement aux droits d'accès, de rectification,
d'opposition, au droit à l'oubli, au droit à la
portabilité des données… ;
● Non respect des règles relatives au transfert de
données à caractère personnel dans un pays tiers ;
● Non respect d'une injonction de la CNIL.
Jusqu'à 4% du chiffre
d'affaires mondial annuel
de l'entreprise
20 millions d'€ pour les
autres
2nde catégorie :
Les autres manquements : défaut de tenue du registre
des traitements ; absence de notification d'une faille
de sécurité, manquement à l'obligation de sécurité,
absence de "Privacy by design", absence d'étude
d'impact, non-désignation d'un délégué à la
protection des données personnelles….
Jusqu'à 2% du chiffre
d'affaires mondial annuel
de l'entreprise
10 millions d'€ pour les
autres
Nouvelle loi
Informatique
et Libertés
(issue de la loi
Lemaire) :
sanctions de la
CNIL jusqu'à 3
millions
d'euros
+ Class Action
13. Actions de groupe
Page 13
● Déjà présentes dans la loi
Informatique et Libertés depuis
novembre 2016
Permettent de faire cesser le
manquement à la loi I&L
Dommages et intérêts ?
● GDPR prévoit la possibilité de se
faire représenter individuellement
par un organisme, une
organisation ou une association
afin d'obtenir réparation (art. 80)
14. E-reputation
Page 14
20.000 € 10.000 €
45.000 €
Avertissement
public
50.000 €
20.000 €
15.000 €
Avertissement
public
Avertissement
public Avertissement
public
Avertissement
public
40.000 €40.000 €
17. Page 17
ROI
Communication / Image de marque
Critère de distinctivité
Argument commercial
https://www.youtube.com/watch?v=Evahh1PXJIg
Avantage concurrentiel / Appels d'Offres
18. D. Comment ?
5 règles fondamentales à respecter
1. Traiter les données à caractère personnel (DP) pour
une finalité déterminée et légitime
2. Collecter les DP strictement nécessaires et adéquates
à chaque finalité poursuivie
3. Informer et respecter le droit des personnes dont les
DP sont traitées
4. Limiter la durée de conservation des DP à la
réalisation de la finalité poursuivie
5. Assurer la sécurité physique des locaux, la sécurité
logique des SI et la confidentialité des DP
Page 18
19. Page 19
Les piliers de la protection des données
Sécurité&
Confidentialité
Droit des
personnes
Privacy
by design/
by default
Base légale
Politiques et procédures
PIA
Gouvernance &
Management des
données
● Anticiper et mettre en place
des programmes de
conformité afin d'être prêt
au 25 mai 2018
Premières opérations
de contrôle par les
autorités de protection
des données
20. Page 20
Les nouvelles obligations
Nouveaux
droits
Notification
des violations
New OPT-
IN
Co-
responsab
ilité
DPO
Information
renforcée
PIA
Privacy by
design/ by
default
Registres
de
traitements
22. Page 22
Focus : Obligation de désigner un DPO
• Les organismes et autorités publics
• Les entreprises privées…
• Si leurs activités de base consistent en des traitements qui exigent un suivi
régulier et systématique à grande échelle des personnes concernées
• Si leurs activités de base consistent en des traitements à grande échelle de
données sensibles ou de données relatives aux condamnations et
infractions
• Les responsables de traitements comme les sous-traitants !
• Pour les entreprises n'entrant pas dans ces critères, la
désignation d'un DPO est toutefois fortement recommandée
Qui est concerné ?
• Désignation sur la base de ses qualités professionnelles et de ses
connaissances spécialisées de la législation et des pratiques
• Indépendance – absence de conflits d’intérêts – secret professionnel
• Mutualisation et externalisation : possible sous conditions
Comment choisir son DPO ?
23. Page 23
Focus : Le registre des traitements
Tenue du Registre (Art. 30 du GDPR) :
Obligation d'élaborer et de tenir à jour le registre de tous
les traitements
Remplace les déclarations auprès de l'autorité de contrôle
dans la majeure partie des cas
S'applique à la fois aux responsables de traitements et aux
sous-traitants
Le registre devra pouvoir être communiqué à la CNIL sur
demande
24. Focus : Les droits des personnes
Droits dont disposent les personnes concernées
Droit d’information et droit d’accès à leurs données
Droit de modification et de suppression de leurs données (ex.: si inexactitudes ou si
fin de la relation)
Droit d’opposition au traitement pour des motifs légitimes (ex.: image pour
trombinoscope versus image pour badge de sécurité)
Droit à l’oubli, i.e. « le droit de changer d’avis et de changer de vie »
Droit à la portabilité des données*
Droit à la limitation des traitements
Droit de définir des directives relatives au sort de ses données personnelles après sa
mort (testament numérique)*
* LRN
Page 24
25. Page 25
Focus : Le consentement
Nouvelle définition
Un acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque
l'accord de la personne concernée
• qui doit être donné pour chaque finalité
• qui doit pouvoir être retiré aussi simplement qu'il a été donné
Exemples de consentement non valide :
• silence de la personne
• cases pré-cochées
• absence d'action
• déséquilibre manifeste entre la personne concernée et le responsable de
traitement
• lien de subordination
• contrats d'adhésion, etc.
26. Page 26
Focus : Les études d'impact (PIA)
● Obligatoire pour certains traitements particuliers
• Profilage (ex. : scoring)
• Traitement à grande échelle de données sensibles
• Surveillance systématique et à grande échelle d'une zone accessible
au public
• Tout autre traitement listé comme tel par l'autorité de contrôle
("traitements les plus risqués")
● Méthodologie publiée dès 2012 par la CNIL (dernière MAJ :
2015) – à suivre
● Mise en place d'un "bac à sable" par la CNIL – à suivre
28. La monétisation des données
Page 28
Valorisation interne
● Nouvelle définition du profilage : "toute forme de traitement automatisé de
données personnelles consistant à utiliser ces données pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou prédire
des éléments concernant le rendement au travail, la situation économique, la santé,
les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation
ou les déplacements de cette personne physique"
• Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation des
rendements, scoring…
● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre
● Monétisation : valorisation des données
par l'entreprise qui les détient
• … soit dans le cadre de sa propre
activité (big data, profilage)
• … soit par leur partage avec des tiers
(vente de fichiers, mise à disposition)
29. Le profilage
Page 29
Traitement
de données
automatisé,
pour évaluer,
prédire, analyser
des personnalités,
des comportements
PROFILAGE
● Information de la personne concernée sur l'existence du profilage, sa logique sous-
jacente et ses conséquences prévues (art. 13)
● Droit de s'opposer au profilage lié à des fins de prospection (art. 21)
● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et
affectant de manière significative la personne concernée (art. 22)
• PIA obligatoire pour ces traitements (art. 35)
30. Le profilage et la publicité ciblée
Page 30
Stockage et
accès aux
cookies
Profilage
(traitement
des données)
Envoi de
communications
commerciales
Opt-in
Opt-in
Opt-in
Opt-out
(au-delà de la première
vente, pour des produits
ou services analogues)
● Articulation du GDPR et du Code
des Postes et des Communications
Electroniques
• Utilisation de cookies :
consentement obligatoire de
l'utilisateur (opt-in)
• Envoi de communications
commerciales : consentement
obligatoire (opt-in) sauf
exception pour l'offre de
produits et services analogues
à ceux déjà vendus (opt-out)
● Proposition de règlement
"e-Privacy" du 10 janvier 2017 :
harmonisation de ces règles dans
toute l'UE
34. Page 34
Transferts internationaux
● Pays reconnus par la Commission Européenne comme offrant un
niveau de protection adéquat (transferts autorisés)
• Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey,
Nouvelle-Zélande, Suisse, Uruguay
● Pour les autres pays, prévoir des garanties par contrat (clauses
standard de l'UE), BCR, Privacy Shield
• Privacy Policy
• Procédure de gestion des plaintes
• Programmes de formation des salariés à la Protection des Données
• Procédures d'audit et programmes d'audit
• Contrat inter-entreprises
35. Page 35
Obligations et responsabilités partagées
TO DO
Audit complet des
contrats pour clarifier
la qualification des
parties
Revue et mise à jour
des clauses clés
Intégration des clauses
obligatoires
Responsable de traitement
Data controller
Responsable de traitement
Data controller
Responsable de traitement
Data controller
Sous-traitant
Data processor
● Responsable de traitement : personne qui détermine les finalités
et les moyens du traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du
responsable de traitement
38. Timeline – Plan d'actions de mise en conformité
2017 2018
Entrée en
application
Deadline
Etat des lieux -
Audit des
traitements et
identification
des points de
non-conformité
à corriger
Définition
d'un
référentiel des
durées de
conservation
Finalisation
documentation
obligatoire
Analyse et
adaptation des
mentions
d'information
obligatoires
Nouveaux droits
(limitation,
portabilité, droit
à l'oubli…)
Aujourd'hui
Formation
GDPR
Réunion Groupe
de travail
constitué du
futur réseau du
DPO + adoption
du programme
de conformité au
GDPR
Transferts de
données hors UE
Privacy by
design
Instruments
d'accountability
MaiAvrilMarsFévrierJanvierDécembreNovembreOctobre
Nomination
du futur
DPO
Etudes
d'impact
Revue des typologies
de contrats pour
intégration et
encadrement de la
coresponsabilité
responsable de
traitement / sous-
traitant
Registre(s)
des
traitements
Opérations de
formation et de
sensibilisation du
personnel