La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Arnaud David Juriste Senior - Microsoft

Publié parMelanie Mélançon Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Arnaud David Juriste Senior - Microsoft"— Transcription de la présentation:

1 Arnaud David Juriste Senior - Microsoft
La responsabilisation accrue de la mise en œuvre des traitements de données personnelles Arnaud David Juriste Senior - Microsoft

2 Le principe d’accountability
Art. 22 GDPR Accountability Documentation & Communication appropriées des politiques Désignation d’un responsable de l’implémentation des politiques Transfert vers des tiers dont le niveau de protection est adéquat Formation des personnels chargés des traitements Gestion des plaintes Notification des failles de sécurité Correctifs et compensation si préjudices Obligation de se doter d’instruments ou de procédures internes pour assurer sa conformité en matière de protection des données personnelles

3 La sécurité, pierre angulaire de l’accountability
Dir 95/46/CE (Art. 17) = > RGPD (Art. 32) Une approche juridique par les risques… « le responsable de traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » …Nécessitant une approche opérationnelle pragmatique

4 Rôle du droit souple/ Soft Law
La solution face à un environnement en pleine mutation : la technologie évolue beaucoup plus rapidement que la réglementation Granularité plus fine que la loi Faire face à la globalisation du traitement des données Caractère plastique, réactif et adaptif Enjeu de concurrence internationale et de compétitivité

5 La normalisation, un outil de conformité
Consensus entre parties intéressées Processus ouvert Volontaire Notion d’état de l’art Equilibre « entreprise/pouvoir public » pour réussir à faire face à l’évolution technologique Différents types de normes: Normes fondamentales (ex: ISO 17788) Vocabulaire, symboles, outils statistiques Normes de spécifications (ex: ISO 27001) Caractéristiques et performance de produits, services, procédés ISO 27018 Dans le cadre d’ISO et 27002 Points de contrôle destinés aux prestataires de Cloud Computing Objectifs: protection des données personnelles dans le Cloud & amélioration de la confiance dans les sous-traitants Répond aux obligations légales des clients Principe de consentement préalable Principe de transparence Notification des failles de sécurité Conservation limitée Confidentialité Accès aux données Outil approprié pour répondre aux nouvelles opportunités technologiques (Cloud, Big Data, BI ou Machine Learning)

6 Stratégie gagnant-gagnant
Privacy By Design DPIA Art. 23 GDPR Art. 35 GDPR Anticipation des sujets relatifs aux traitements de données dès les premières étapes de leurs projets informatiques (conception des produits, services et systèmes exploitant des données à caractère personnel) => démarche de transparence Nécessaire coopération entre les services juridiques et informatiques au sein de l’entreprise Politique à mettre en œuvre pour anticiper les violations de la vie privée Si traitement implique des risques importants qui ne peuvent être contrebalancé par des mesures adéquates, consultation de l’autorité est obligatoire (Ct 84) Requis par défaut dans 3 cas Evaluation systématique et approfondie d’aspects personnels Traitement à grande échelle de catégories particulières de données Surveillance systématique à grande échelle d’une zone accessible au public Comprend: Description du traitement Evaluation de la nécessité de la proportionnalité des traitements au regard des finalités Evaluation des risques pour les droits et libertés des personnes concernées Mesures envisagées pour assurer la protection des données personnelles Modèle de PIA par la CNIL Privacy By Design Démarche pro-active Protection par défaut Transparence Stratégie gagnant-gagnant

7 Devoir d’alerte : notification des incidents de sécurité
Art. 32, 34 & 55 GDPR Incident de sécurité = destruction accidentelle ou illégale, perte, altération, divulgation ou accès non autorisés à, des données personnelles transmises, stockées ou traitées. Si risque d’atteinte aux droits et libertés Si important risque d’atteinte aux droits et libertés Conditions de notification Exception: Lorsque le risque n’est pas susceptible de porter atteinte aux droits et libertés fondamentaux des personnes. Possibilité pour l’Autorité de décider que la notification est nécessaire ou non C’est au responsable de traitement de déterminer si l’impact est suffisamment important Conditions de notification: Exceptions: Responsable de traitement a mis en place des techniques appropriées de protection (chiffrement) Mise en place de mesures à la suite de l’incident pour s’assurer qu’un important risque ne se matérialise pas Si la notification à chaque personne concernée demande un effort disproportionné A l’Autorité de protection des données personnelles compétente Dans les 72h après constatation de l’incident Plus tard, mais devra justifier ce délai Notification sans délai à la personne concernée

Télécharger ppt "Arnaud David Juriste Senior - Microsoft"

Présentations similaires

AMELIORATION DE LA PRISE DE DECISION SUR LES TERRAINS MILITAIRE ET SECURITAIRE PAR LE RENSEIGNEMENT ELECTONIQUE.

AMELIORATION DE LA PRISE DE DECISION SUR LES TERRAINS MILITAIRE ET SECURITAIRE PAR LE RENSEIGNEMENT ELECTONIQUE.
1 Business Unit Management Contractuel des Affaires et des Engagements Juridiques État des Lieux, Chiffres Clés, Problématiques métiers GREEN Conseil GREEN.

1 Business Unit Management Contractuel des Affaires et des Engagements Juridiques État des Lieux, Chiffres Clés, Problématiques métiers GREEN Conseil GREEN.
Chapitre 1 Le service de l’approvisionnement

Chapitre 1 Le service de l’approvisionnement
L’impact du RGPD sur l’organisation et l’activité des entreprises

L’impact du RGPD sur l’organisation et l’activité des entreprises
ANALYSE D’IMPACT / ANALYSE DE RISQUE DANS LE RGPD

ANALYSE D’IMPACT / ANALYSE DE RISQUE DANS LE RGPD
La règlementation en matière de transfert de données

La règlementation en matière de transfert de données
La pénibilité au travail : Au moins 3 grands enjeux

La pénibilité au travail : Au moins 3 grands enjeux
LA NORME ISO 9001 : 2008 Introduction Pourquoi une démarche qualité?

LA NORME ISO 9001 : 2008 Introduction Pourquoi une démarche qualité?
Sites Internet et Protection des données à caractère personnel

Sites Internet et Protection des données à caractère personnel
Gestion responsable en matière de biotechnologie

Gestion responsable en matière de biotechnologie
Vers une nouvelle gouvernance de la donnée personnelle

Vers une nouvelle gouvernance de la donnée personnelle
Quizz ISO 9001 V nouvelles questions

Quizz ISO 9001 V nouvelles questions
Evolutions réglementaires en cours

Evolutions réglementaires en cours
Le notaire et le droit des données personnelles

Le notaire et le droit des données personnelles
L’evolution du concept qualité

L’evolution du concept qualité
La gouvernance de la sécurité sociale

La gouvernance de la sécurité sociale
PRIVACY.

PRIVACY.
le plan de continuité d’activité ( le pca )

le plan de continuité d’activité ( le pca )
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.

Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Et la vie lycéenne Vous présentent.

Et la vie lycéenne Vous présentent.

Présentations similaires

Annonces Google