(re)Découvrez les impacts du Règlement Général sur la Protection des Données (RGPD) sur votre activité grâce à l’analyse et aux recommandations de notre partenaire, le cabinet international Bird & Bird. Le RGPD, Règlement Général sur la Protection des Données (en anglais GDPR : General Data Protection Regulation) sera d’application directe le 25 Mai 2018. Il a pour objectif de renforcer et unifier la protection des données à caractère personnel. Il ne reste donc à présent que quelques mois aux entreprises pour repenser leur gouvernance en matière de protection des données personnelles et se mettre en conformité au RGPD.

1. Partenaire technologique et analytique des
services marketing des entreprises.
Subject matter | Client Details
Page 1
© Bird & Bird LLP 2017

2. © Bird & Bird LLP 2017
ATELIER DE FORMATION
GDPR
Se préparer à la nouvelle règlementation
GDPR
Par Mérav Griguer
Avocat associée
Octobre 2017

3. 1. Le nouveau Règlement européen (GDPR):
plus que 7 mois pour se mettre en
conformité !

4. Les fondamentaux
Page 4

5. A. Quoi ?
 Qu’est-ce qu’une donnée à caractère personnel ?
 Toute information relative à une personne physique identifiée ou identifiable de
manière directe ou indirecte
• Concerne toute personne physique : salariés, clients, prospects, prestataires,
fournisseurs, sous-traitants, etc.
• Exemples : nom, prénom, date de naissance, adresse
du domicile, adresse fiscale, identité bancaire, situation professionnelle, revenus,
patrimoine, logs de connexion, adresse IP, matricule salarié, photographie, etc.
Page 5

6. A. Quoi ?
 Qu’est-ce qu’un traitement de données à caractère personnel ?
 « Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données ou des ensembles de données à caractère
personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la
conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, la diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la
destruction ».
(Définition du nouveau Règlement européen)
• Exemples : « tenue des comptes clients », « lutte contre la fraude », « octroi et
gestion des crédits ou prêts consentis à des personnes physiques », « suivi des
activités relatives aux instruments financiers », « établissement et mise à jour des
listes d'initiés », etc.
Page 6

7. A. Quoi ?
 Idées reçues : « je ne suis pas concerné(e) car ...
• Je n'ai qu'un fichier papier, je n'enregistre pas les données sur mon ordinateur »
• Je ne traite aucune donnée, c'est mon prestataire qui le fait »
• Je me contente de lire et consulter les informations »
• Je n'utilise pas de logiciel, seulement un tableau ou document word, excel »
• Je fais uniquement une copie par scan que je garde sur mon ordi »
• Je ne collecte pas des données sensibles ou qui portent atteinte à la vie privée »
• Je ne collecte pas les noms et prénoms »
• Je ne collecte et traite que des données qui concernent des personnes morales »
• Je ne collecte que des données financières »
• Je ne collecte que des données techniques (adresse IP, URL, données de
connexion, etc...) »
• J'anonymise les personnes qui ne sont désignées que par un
matricule/numéro/code »
• Je ne collecte que des données "publiques" trouvées sur internet »
• Je collecte uniquement des données professionnelles sur les salariés ou clients »
Page 7

8. Qui ?
● Responsable de traitement : personne qui détermine les finalités et les moyens du
traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du responsable de
traitement
Subject matter | Client Details
Page 8
© Bird & Bird LLP 2017

9. B. Jusqu'où ?
 Champ d'application territorial
 Responsable de traitement ou sous-traitant établi sur le territoire de l'UE
- ... même si le traitement est réalisé en pratique hors de l'UE !
 Responsable de traitement ou sous-traitant établi en-dehors de l'UE mais
traitement de données relatives à des personnes situées dans l'UE
- Traitement lié à l'offre de biens ou de services à ces personnes (rémunérée ou non)
- Traitement lié au suivi au du comportement de ces personnes dans l'UE
Page 9

10. Page 10
C. Pourquoi ?
 Sanctions pénales
 Sanctions administratives de la CNIL
 Avertissement qui peut être rendu public
 Demande de suspension du traitement
• risque de désorganisation de l’entreprise, baisse
d’activité, frein à la compétitivité, coût financier, etc.
 Retrait de l’autorisation accordée par la CNIL
 Mise en demeure de cesser l’infraction
 Sanction pécuniaire
• Aujourd'hui: jusqu'à 3 millions d'euros
• Demain: jusqu'à 20 millions d'euros ou 4% du chiffre
d'affaires annuel mondial
 Publicité des sanctions

11. Ce qui change

12. Page 12
Augmentation des sanctions
GDPR – Nouveau règlement européen d'application directe
en mai 2018
Cas de violations Sanctions Financières
1ere catégorie :
● Manquement à l'obligation de traitement loyal
des données collectées, traitement de données
sensibles ;
● Absence d'information / consentement,
● Manquement aux droits d'accès, de rectification,
d'opposition, au droit à l'oubli, au droit à la
portabilité des données… ;
● Non respect des règles relatives au transfert de
données à caractère personnel dans un pays tiers ;
● Non respect d'une injonction de la CNIL.
Jusqu'à 4% du chiffre
d'affaires mondial annuel
de l'entreprise
20 millions d'€ pour les
autres
2nde catégorie :
Les autres manquements : défaut de tenue du registre
des traitements ; absence de notification d'une faille
de sécurité, manquement à l'obligation de sécurité,
absence de "Privacy by design", absence d'étude
d'impact, non-désignation d'un délégué à la
protection des données personnelles….
Jusqu'à 2% du chiffre
d'affaires mondial annuel
de l'entreprise
10 millions d'€ pour les
autres
Nouvelle loi
Informatique
et Libertés
(issue de la loi
Lemaire) :
sanctions de la
CNIL jusqu'à 3
millions
d'euros
+ Class Action

13. Actions de groupe
Page 13
● Déjà présentes dans la loi
Informatique et Libertés depuis
novembre 2016
 Permettent de faire cesser le
manquement à la loi I&L
 Dommages et intérêts ?
● GDPR prévoit la possibilité de se
faire représenter individuellement
par un organisme, une
organisation ou une association
afin d'obtenir réparation (art. 80)

14. E-reputation
Page 14
20.000 € 10.000 €
45.000 €
Avertissement
public
50.000 €
20.000 €
15.000 €
Avertissement
public
Avertissement
public Avertissement
public
Avertissement
public
40.000 €40.000 €

15. E-reputation
Page 15
Avertissement
public
100.000 €,
150.000 € …
150.000 €

16. Page 16
E-reputation
Mise en demeure
publique
Avertissement
public

17. Page 17
ROI
 Communication / Image de marque
 Critère de distinctivité
 Argument commercial
https://www.youtube.com/watch?v=Evahh1PXJIg
 Avantage concurrentiel / Appels d'Offres

18. D. Comment ?
 5 règles fondamentales à respecter
1. Traiter les données à caractère personnel (DP) pour
une finalité déterminée et légitime
2. Collecter les DP strictement nécessaires et adéquates
à chaque finalité poursuivie
3. Informer et respecter le droit des personnes dont les
DP sont traitées
4. Limiter la durée de conservation des DP à la
réalisation de la finalité poursuivie
5. Assurer la sécurité physique des locaux, la sécurité
logique des SI et la confidentialité des DP
Page 18

19. Page 19
Les piliers de la protection des données
Sécurité&
Confidentialité
Droit des
personnes
Privacy
by design/
by default
Base légale
Politiques et procédures
PIA
Gouvernance &
Management des
données
● Anticiper et mettre en place
des programmes de
conformité afin d'être prêt
au 25 mai 2018
 Premières opérations
de contrôle par les
autorités de protection
des données

20. Page 20
Les nouvelles obligations
Nouveaux
droits
Notification
des violations
New OPT-
IN
Co-
responsab
ilité
DPO
Information
renforcée
PIA
Privacy by
design/ by
default
Registres
de
traitements

21. Focus sur les impacts du GDPR

22. Page 22
Focus : Obligation de désigner un DPO
• Les organismes et autorités publics
• Les entreprises privées…
• Si leurs activités de base consistent en des traitements qui exigent un suivi
régulier et systématique à grande échelle des personnes concernées
• Si leurs activités de base consistent en des traitements à grande échelle de
données sensibles ou de données relatives aux condamnations et
infractions
• Les responsables de traitements comme les sous-traitants !
• Pour les entreprises n'entrant pas dans ces critères, la
désignation d'un DPO est toutefois fortement recommandée
Qui est concerné ?
• Désignation sur la base de ses qualités professionnelles et de ses
connaissances spécialisées de la législation et des pratiques
• Indépendance – absence de conflits d’intérêts – secret professionnel
• Mutualisation et externalisation : possible sous conditions
Comment choisir son DPO ?

23. Page 23
Focus : Le registre des traitements
 Tenue du Registre (Art. 30 du GDPR) :
 Obligation d'élaborer et de tenir à jour le registre de tous
les traitements
 Remplace les déclarations auprès de l'autorité de contrôle
dans la majeure partie des cas
 S'applique à la fois aux responsables de traitements et aux
sous-traitants
 Le registre devra pouvoir être communiqué à la CNIL sur
demande

24. Focus : Les droits des personnes
 Droits dont disposent les personnes concernées
 Droit d’information et droit d’accès à leurs données
 Droit de modification et de suppression de leurs données (ex.: si inexactitudes ou si
fin de la relation)
 Droit d’opposition au traitement pour des motifs légitimes (ex.: image pour
trombinoscope versus image pour badge de sécurité)
 Droit à l’oubli, i.e. « le droit de changer d’avis et de changer de vie »
 Droit à la portabilité des données*
 Droit à la limitation des traitements
 Droit de définir des directives relatives au sort de ses données personnelles après sa
mort (testament numérique)*
* LRN
Page 24

25. Page 25
Focus : Le consentement
 Nouvelle définition
 Un acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque
l'accord de la personne concernée
• qui doit être donné pour chaque finalité
• qui doit pouvoir être retiré aussi simplement qu'il a été donné
 Exemples de consentement non valide :
• silence de la personne
• cases pré-cochées
• absence d'action
• déséquilibre manifeste entre la personne concernée et le responsable de
traitement
• lien de subordination
• contrats d'adhésion, etc.

26. Page 26
Focus : Les études d'impact (PIA)
● Obligatoire pour certains traitements particuliers
• Profilage (ex. : scoring)
• Traitement à grande échelle de données sensibles
• Surveillance systématique et à grande échelle d'une zone accessible
au public
• Tout autre traitement listé comme tel par l'autorité de contrôle
("traitements les plus risqués")
● Méthodologie publiée dès 2012 par la CNIL (dernière MAJ :
2015) – à suivre
● Mise en place d'un "bac à sable" par la CNIL – à suivre

27. Privacy by design
Page 27
Subject matter | Client Details© Bird & Bird LLP 2017
● Se traduit par « protection des données dès la conception »
● Mise en œuvre des mesures techniques et organisationnelles
permettant d'assurer une protection des données au début, et
tout au long, du cycle de vie d'une application ou solution
● Exemples de mesures:
• Minimisation des données collectées
• Ajout d'un contrôle pour recueillir le consentement de la
personne
• Ajout des mentions d'information sur l'interface graphique
• Chiffrement des données lorsque nécessaire
• « Pseudonymisation » : remplacement d'une donnée à
caractères personnel par un pseudonyme
• Suppression automatique des données à la fin de leur durée
de conservation
Privacy by default :
Ne collecter et traiter,
par défaut,
qu'exclusivement les
données à caractère
personnel strictement
nécessaires à la
finalité poursuivie
par le traitement.

28. La monétisation des données
Page 28
Valorisation interne
● Nouvelle définition du profilage : "toute forme de traitement automatisé de
données personnelles consistant à utiliser ces données pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou prédire
des éléments concernant le rendement au travail, la situation économique, la santé,
les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation
ou les déplacements de cette personne physique"
• Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation des
rendements, scoring…
● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre
● Monétisation : valorisation des données
par l'entreprise qui les détient
• … soit dans le cadre de sa propre
activité (big data, profilage)
• … soit par leur partage avec des tiers
(vente de fichiers, mise à disposition)

29. Le profilage
Page 29
Traitement
de données
automatisé,
pour évaluer,
prédire, analyser
des personnalités,
des comportements
PROFILAGE
● Information de la personne concernée sur l'existence du profilage, sa logique sous-
jacente et ses conséquences prévues (art. 13)
● Droit de s'opposer au profilage lié à des fins de prospection (art. 21)
● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et
affectant de manière significative la personne concernée (art. 22)
• PIA obligatoire pour ces traitements (art. 35)

30. Le profilage et la publicité ciblée
Page 30
Stockage et
accès aux
cookies
Profilage
(traitement
des données)
Envoi de
communications
commerciales
Opt-in
Opt-in
Opt-in
Opt-out
(au-delà de la première
vente, pour des produits
ou services analogues)
● Articulation du GDPR et du Code
des Postes et des Communications
Electroniques
• Utilisation de cookies :
consentement obligatoire de
l'utilisateur (opt-in)
• Envoi de communications
commerciales : consentement
obligatoire (opt-in) sauf
exception pour l'offre de
produits et services analogues
à ceux déjà vendus (opt-out)
● Proposition de règlement
"e-Privacy" du 10 janvier 2017 :
harmonisation de ces règles dans
toute l'UE

31. La violation des données
• 177.300 cyberattaques quotidiennes à travers le monde
• Plus de 8 entreprises sur 10 ont déjà été victimes de
cyberattaque
• 5 à 10 % du budget d’une entreprise consacré à la
cybersécurité
• Plus de 35% des incidents de cybersécurité ont été générés
par des collaborateurs
Subject matter | Client Details
Page 31
© Bird & Bird LLP 2017

32. Page 32
© Bird & Bird LLP 2017
Cybersecurité et vous ?
• Sondage
Avez-vous un mot de passe suffisamment sécurisé ?
https://www.youtube.com/watch?v=opRMrEfAIiI
https://youtu.be/opRMrEfAIiI

33. Page 33
© Bird & Bird LLP 2017
Mesures et actions à mettre en place
• Mesures de prévention et limitation des risques
- Audit des politiques, procédures et pratiques
- Formation du personnel utilisateur
- Formation du personnel admin
- Audit des contrats (cloud)
- Assurance
• Anticipation de gestion de crise en cas d'incidents/de failles de sécurité ou violation des
données
- Respect réglementation applicable: procédure de prévention et gestion des incidents
- Communication interne et externe
- Investigations pour identifier la cause / l'auteur

34. Page 34
Transferts internationaux
● Pays reconnus par la Commission Européenne comme offrant un
niveau de protection adéquat (transferts autorisés)
• Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey,
Nouvelle-Zélande, Suisse, Uruguay
● Pour les autres pays, prévoir des garanties par contrat (clauses
standard de l'UE), BCR, Privacy Shield
• Privacy Policy
• Procédure de gestion des plaintes
• Programmes de formation des salariés à la Protection des Données
• Procédures d'audit et programmes d'audit
• Contrat inter-entreprises

35. Page 35
Obligations et responsabilités partagées
TO DO
 Audit complet des
contrats pour clarifier
la qualification des
parties
 Revue et mise à jour
des clauses clés
 Intégration des clauses
obligatoires
Responsable de traitement
Data controller
Responsable de traitement
Data controller
Responsable de traitement
Data controller
Sous-traitant
Data processor
● Responsable de traitement : personne qui détermine les finalités
et les moyens du traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du
responsable de traitement

36. Comment NP6 gère sa mise en
conformité et opère la protection
de vos données ?
Subject matter | Client Details
Page 36
© Bird & Bird LLP 2017

37. 2. Plan d'actions

38. Timeline – Plan d'actions de mise en conformité
2017 2018
Entrée en
application
Deadline
Etat des lieux -
Audit des
traitements et
identification
des points de
non-conformité
à corriger
Définition
d'un
référentiel des
durées de
conservation
Finalisation
documentation
obligatoire
Analyse et
adaptation des
mentions
d'information
obligatoires
Nouveaux droits
(limitation,
portabilité, droit
à l'oubli…)
Aujourd'hui
Formation
GDPR
Réunion Groupe
de travail
constitué du
futur réseau du
DPO + adoption
du programme
de conformité au
GDPR
Transferts de
données hors UE
Privacy by
design
Instruments
d'accountability
MaiAvrilMarsFévrierJanvierDécembreNovembreOctobre
Nomination
du futur
DPO
Etudes
d'impact
Revue des typologies
de contrats pour
intégration et
encadrement de la
coresponsabilité
responsable de
traitement / sous-
traitant
Registre(s)
des
traitements
Opérations de
formation et de
sensibilisation du
personnel

39. Découvrez les prochains rendez-vous NP6 !
Subject matter | Client Details
Page 39
© Bird & Bird LLP 2017

40. Merav Griguer
Avocat Associée
Direct +33 1 42 68 6706
Mob +33 6 16 71 1485
merav.griguer@twobirds.com
@MeravGriguer
Merci !
www.np6.com