L’impact du RGPD sur l’organisation et l’activité des entreprises

Slides:



Advertisements
Présentations similaires
JRES FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT.
Advertisements

Protocole de gestion de dysfonctionnements Françoise JEGADEN Assistante Sociale Grand Port Maritime Le Havre.
Un suivi administratif organisé
Arnaud David Juriste Senior - Microsoft
LOGICIELS DE GESTION COMPTABLES
La règlementation en matière de transfert de données
Equipe pédagogique: Comptabilité générale
La pénibilité au travail : Au moins 3 grands enjeux
Elodie JACQUES Assistante Ulg et Avocate au Barreau de Bruxelles
Sites Internet et Protection des données à caractère personnel
ORGANISATION ET PLANIFICATION INSTITUTIONNELLES
Gestion responsable en matière de biotechnologie
Les caractéristiques générales de ‘impôt
Rappel de quelques notions importantes en matière de gestion de déchets de chantiers. Mai 2016.
L’ organization comme fonction de gestion
Vers une nouvelle gouvernance de la donnée personnelle
Chiffrement de bout en bout
Evolutions réglementaires en cours
Le notaire et le droit des données personnelles
Compléments d’informations sur l’application des pénalités fournisseurs dans les contrats cadres Direction des Achats | Novembre 2010 Document interne.
PROJET DE RAPPORT DE L’EXERCICE N°1 PRESENTE PAR LE GROUPE N°2
Relations associations et collectivités publiques
PRIVACY.
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Le Règlement européen sur la protection des données personnelles
Code de Conduite de l'Association ITIE
Marguerite OUEDRAOGO BONANE
COOPERATION Regard européen L. Ghekiere – AND
Les normes de l’Audit Interne Cour N° 02. Le but des normes de l’audit interne: - Contribue au professionnalisme de la profession - Amélioration des performances.
données personnelles La protection des
Présentation au COTER Jeudi 7 décembre 2017
MARQUAGE CE.
LA RGPD 2018 Mise en conformité de votre OF
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Règlement général sur la protection des données
Le RGPD dans la santé Cédric Cartau – 2017.
Règlement général sur la protection des données
Directrice de la Conformité
Confidentiel – Reproduction interdite
Le GDPR en 20 minutes - Quelques questions choisies
Le Règlement européen général sur la protection des données (RGPD)
Présentation de suderiane
La gestion des habilitations par le partenaire
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Règlement général sur la protection des données
Intervenant : Patrick DUGUÉ Consultant - Formateur
ATELIER PREVENTION ET GESTION DES LITIGES DANS LE VOYAGE: ELEMENT FONDAMENTAL DE LA QUALITE DANS LA RELATION CLIENT Khalid El Wardi.
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
Le nouveau règlement sur la vie privée
La collecte d’informations Présenté par: Boudries. S.
« Professionnalisation et plongée » de la FFESSM
Registre des activités de traitement
LES MISSIONS DE L’ARCEP, ex OTRT Présentation de M. Houzibé TCHOLNA Chef de Service Contentieux Octobre 2015.
Module 1 : principes généraux I&L
LE RGPD ET LES DROITS A LA PERSONNE - LE DROIT D’ACCES
Procédure de gestion documentaire
La protection des données personnelles
Conseiller de l’information et de la communication au Maghreb
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information.
Etienne Kairis et Marie-Caroline Morelle 16 octobre 2018
Télémédecine et protection des données personnelles
CR-GR-HSE-412 Gestion des parties prenantes et impacts locaux
Evaluation et suivi des risques HSE des actifs opérés par des tiers REGLE HSE GROUPE (CR-GR-HSE-114) SYNTHÈSE Cette règle définit les exigences pour l’évaluation.
L’employeur peut-il décider de modifier seul le contrat de travail ? Olivier NDANDU-MILANDU DROIT DU TRAVAIL Mme Irène POLITIS 1 ONM/DURM 16 LEONARD DE.
Transcription de la présentation:

L’impact du RGPD sur l’organisation et l’activité des entreprises Besançon – 3 mai 2017 Christophe Héry Avocat au Barreau de Paris 02/05/2017

Introduction Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données – RGPD). Abroge la Directive 95/46/CE et crée une règle uniforme partout dans l’Union Européenne. Approche nouvelle impliquant une plus grande responsabilité du responsable des traitements de données et prévoyant des sanctions plus lourdes. Texte complexe et technique : près de 100 pages, 173 considérants et 99 articles. Va entraîner une modification profonde des pratiques, de la documentation et de l’organisation des entreprises qui devront intégrer plus en amont et plus en profondeur la protection des données.

Plan Domaine d’application Principes fondamentaux Droits des personnes concernées Obligations du responsable du traitement Responsabilité et sanctions Conséquences pratiques sur l’activité commerciale Rôle du juriste dans le plan d’action

Domaine d’application (1/2) Application temporelle Entrée en vigueur le 25 mai 2018 et directement applicable en France, Mise en conformité de la loi Informatique et Libertés d’ici cette date ? Application territoriale Entreprises établies dans l’Union Européenne (quel que soit le lieu de traitement des données) Entreprises établies hors de l’Union Européenne... : ... qui offrent des biens ou services à des personnes concernées dans l’UE (sites web dédiés ?), ou ... qui suivent le comportement de personnes établies dans l’UE.

Domaine d’application (2/2) Application matérielle Nouvelle définition des données à caractère personnel (« DCP ») toute information permettant d’identifier, directement ou indirectement, une personne physique notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un élément propre à son identité physiologique, génétique, psychique, économique, culturelle ou sociale ; Données sensibles : race, opinion politique, religion, données génétiques et biométriques, santé, etc.. Traitement interdit sauf conditions particulières ; Nouveau concept de la pseudonymisation : pas d’identification directe sans informations supplémentaires ; constitue une donnée personnelle mais usage encouragé car règles plus souples. Les adresses IP et cookies sont expressément visés dorénavant : les objets connectés sont directement concernés par ces données sensibles, la pseudonymisation devrait devenir la priorité.

Les principes fondamentaux Un traitement licite, loyal et transparent des DCP Une collecte de DCP pour des finalités déterminées, explicites et légitimes Des DCP adéquates, limitées, exactes et tenues à ce jour Une conservation limitée dans le temps Une sécurité appropriée contre le traitement non-autorisé, la perte ou la destruction Un principe de responsabilité du responsable du traitement, du respect des principes ci-dessus (« accountability »). En application de ces principes, les entreprises devront modifier leur notice de confidentialité, auditer la nature et la qualité des informations pertinentes ou pas, mettre en place des processus d’accès et de suppression de données efficaces, mettre en place des procédures et techniques assurant l’intégrité des données et leur sécurité informatique, réfléchir au principe de protection des données dès le stade de la conception de nouveaux outils industriels, commerciaux ou marketing.

Droits des personnes concernées (1/3) Encadrement plus strict de la validité du consentement : doit être donné librement, doit être spécifique, doit être éclairé, doit faire l’objet d’une action positive et non ambigüe, doit être enregistré et prouvé, doit faire l’objet d’un engagement distinct et peut être retiré aussi librement qu’il a été donné. Le texte de consentement ne pourra pas être noyé dans d’autres clauses et devra être distinct des autres clauses. L’accord pré-rempli est interdit. L’accord donné devra être conservé en archives par l’entreprise. L’accord ne pourra pas être donné de façon globale. La conclusion d’un contrat ne pourra pas être conditionnée à l’usage de données non pertinentes ou non nécessaires.

Droits des personnes concernées (2/3) Droit d’accès Droit de rectification Droit à l’effacement Il doit être effacé par le responsable du traitement ou par d’autres responsables du traitement, tiers, qui auraient utilisé ces données devenues publiques (mesures techniques raisonnables), L’effacement peut être demandé notamment lorsque la donnée n’est plus nécessaire ou lorsque la personne concernée a retiré son consentement ou s’oppose au traitement. Droit à la limitation du traitement Droit à la portabilité des données Droit de s’opposer au traitement Obligation de l’entreprise de ne plus traiter les données concernées, y compris pour un profilage, Possibilité de s’opposer au traitement de données à des fins de prospection. Le droit de s’opposer au traitement doit être explicitement porté à l’attention de la personne concernée au plus tard au moment de la première communication et doit être présenté séparément des autres informations, ce qui va avoir un impact sur la présentation des notices de confidentialité et de leur usage technique.

Droits des personnes concernées (3/3) Droit à une information devant être communiquée à la personne concernée En application du principe de transparence, le responsable du traitement devra communiquer à chaque personne concernée une information précise qui devra être accessible aisément et exprimée dans un langage clair. Le RGPD impose de communiquer plus d’une douzaine d’informations clairement listées relatives notamment à l’identité du responsable du traitement, l’objet de ce traitement, le transfert éventuel hors de l’UE, etc. Ces nouvelles obligations obligent les responsables de traitement à revoir leur notice de confidentialité de manière à ce qu’elle soit exactement conforme aux prescriptions du RGPD en matière d’informations devant être communiquées aux personnes concernées.

Obligations du responsable du traitement (1/5) « Privacy by design » et « privacy by default » Il s’agit-là de deux nouveaux principes majeurs du RGPD. Le but est d’obliger les responsables de traitement à intégrer dans tout processus de conception de prestation de services (sites web) ou de produits (objets connectés) la protection des données personnelles, en conformité avec le RGPD. « Privacy by design » : le responsable du traitement devra donc dès la détermination des moyens de traitement mettre en œuvre des mesures techniques et organisationnelles appropriées (par exemple pseudonymisation) destinées à respecter les principes du RGPD. « Privacy by default » : le responsable du traitement doit prendre les mesures techniques (informatiques) et organisationnelles (formation et contrôle) appropriées pour garantir que seules seront collectées et traitées, par défaut, les données personnelles nécessaires au regard de la finalité du traitement. Le RGPD encourage des mécanismes de certification visant à contrôler leur respect.

Obligations du responsable du traitement (2/5) Analyse d’impact relative à la protection des données (« PIA ») Une analyse d’impact devra être réalisée, avant la mise en place d’un traitement de données, lorsque le type de traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et liberté des personnes. La notion de « risque élevé » n’est pas définie par le RGPD. Le « PIA » devra intégrer une analyse détaillée des opérations de traitement, une analyse de l’adéquation entre l’objet du traitement et le type de données collectées ainsi qu’une évaluation des risques d’atteinte aux droits et liberté des personnes concernées et enfin les mesures techniques de sécurité visant à assurer la protection des données. Toutes les sociétés sont concernées dès lors qu’il y a un « risque élevé » d’atteinte au droit des personnes.

Obligations du responsable du traitement (3/5) Délégué à la protection des données (« DPO ») Obligatoire lorsque « les activités de base du responsable du traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » (désignation conseillée dans les autres cas). Désigné sur la base de ses « qualités professionnelles » et de sa capacité à accomplir les missions minima du RGPD. Peut être un salarié ou un prestataire de services. Doit avoir les ressources nécessaires pour exercer ses missions et accéder à toutes les données et opérations de traitement. Il ne peut recevoir d’instructions en ce qui concerne l’exercice de sa mission ni être relevé de ses fonctions ou pénalisé pour l’exercice de celles-ci. Il doit rendre compte directement au niveau le plus élevé de la direction. Il peut exercer d’autres taches dans l’entreprise (sans conflit d’intérêts). Missions de base : informer et conseiller le responsable du traitement, contrôler le respect du RGPD par le responsable du traitement, participer à la sensibilisation et à la formation du personnel et coopérer avec la CNIL. L’obligation de désigner un DPO indépendant de la taille de la société.

Obligations du responsable du traitement (4/5) Registre des activités de traitement L’obligation pèse sur le responsable du traitement mais également sur ses éventuels sous-traitants. Doit pouvoir être mis à disposition de la CNIL sur simple demande. Le registre devra mentionner : le nom et les coordonnées du responsable du traitement ainsi que ceux du DPO, les finalités du traitement, la description des catégories de personnes concernées, la catégorie des destinataires des données, les transferts de données vers un pays tiers, les délais prévus pour l’effacement des différentes catégories de données, une description générale des mesures de sécurité techniques et organisationnelles. Pour les sociétés de moins de 250 employés, l’obligation de tenir ce registre n’est pas applicable, sauf si le traitement de données : est susceptible de comporter un risque pour les droits et libertés des personnes concernées ou n’est pas occasionnel ou porte sur des catégories de données sensibles (par ex. race, religion, santé, sexe).

Obligations du responsable du traitement (5/5) Notification des violations de données personnelles Nouvelle obligation pesant sur le responsable du traitement. C’est le pendant de l’obligation de sécurité. Notification du sous-traitant au responsable du traitement. Porte sur toute « violation » de données, sans distinction aucune, dans les meilleurs délais. Notification du responsable du traitement à l’autorité de contrôle : uniquement si la violation est susceptible d’engendrer un risque pour les droits et liberté des personnes physiques, dans les meilleurs délais et, si possible, 72 heures après en avoir pris connaissance, circonstanciée : nature de la violation, nombre approximatif de personnes concernées, conséquences probables, mesures prises pour remédier à la violation et en atténuer les conséquences. Notification du responsable du traitement à la personne concernée en des termes clairs et simples : obligatoire si violation est susceptible d’engendrer un risque élevé pour les droits et liberté, non obligatoire si des mesures de protection techniques et organisationnelles appropriées ont été prises ou si des mesures ultérieures ont été prises. Le RGPD impose au responsable du traitement qu’il documente toute violation de DCP (quelle que soit leur gravité) en indiquant les faits de violation, leurs effets et les mesures prises pour y remédier. Ce registre doit pouvoir être consulté par l’autorité de contrôle.

Responsabilité et sanctions Le sous-traitant de DCP doit présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». Le responsable du traitement doit conclure un contrat avec le sous-traitant, conforme aux RGPD, Principe de réparation du dommage matériel et moral du fait d’une violation du RGPD, Principe de solidarité entre le responsable du traitement et le sous-traitant pour la totalité du dommage. Amendes administratives la sanction doit être effective, proportionnée et dissuasive (calculée selon onze critères), montant de la sanction maximum différent selon la gravité de la violation : entre 10 000 000 € et 2 % du CA, entre 20 000 000 € et 4 % du CA. Autres sanctions indirectes Les Codes de conduite et Certifications, les associations de consommateurs, les concurrents (concurrence déloyale ?).

Conséquences pratiques sur l’activité commerciale Outils collectant les DCP (sites web/objets connectés) Révision de l’ensemble des informations communiquées et des modalités d’obtention de l’accord, Les contrats de conception devront obliger les prestataires à intégrer toutes les obligations du RGPD. Négociation et rédaction de contrats Avec les responsables conjoints de traitement et sous-traitants (dans l’UE et hors UE), conformément aux règles du RGPD, Clauses de conformité au RGPD, de répartition de responsabilité et d’indemnisation effective. Exportation de données hors de l’UE Identification des responsables de traitement/sous-traitants hors de l’UE (hors du groupe ou dans le groupe de sociétés), Identification du cadre juridique approprié en fonction du pays concerné (REC/CCT ?).

Rôle du juriste dans le plan d’action Mise en place d’une équipe ad hoc Implication de la direction juridique Implication du CIL/futur DPO + directions générale/commerciale/ informatique. Audit et cartographie des pratiques en cours Focus sur le type d’informations et leur finalité, Collecte de tous les documents et identification des pratiques internes. Mise à jour de l’information interne et externe Adaptation de la politique de confidentialité/modalités d’obtention des consentements/information délivrée. Adaptation des règles de sécurité Renforcement de la sécurité informatique et mise en place de processus garantissant la sécurité des DCP. Adaptation de l’organisation interne Mise en œuvre du privacy by design/privacy by default (en amont), Implication des services marketing/commerciaux/informatique dans le PIA, Désignation et mise en place du DPO, Création du registre des traitements/registre des incidents.

Merci de votre attention Christophe Héry chery@lmtavocats.com www.lmtavocats.com commentaire aie non mais

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.