Arnaud David Juriste Senior - Microsoft La responsabilisation accrue de la mise en œuvre des traitements de données personnelles Arnaud David Juriste Senior - Microsoft

Le principe d’accountability Art. 22 GDPR Accountability Documentation & Communication appropriées des politiques Désignation d’un responsable de l’implémentation des politiques Transfert vers des tiers dont le niveau de protection est adéquat Formation des personnels chargés des traitements Gestion des plaintes Notification des failles de sécurité Correctifs et compensation si préjudices Obligation de se doter d’instruments ou de procédures internes pour assurer sa conformité en matière de protection des données personnelles

La sécurité, pierre angulaire de l’accountability Dir 95/46/CE (Art. 17) = > RGPD (Art. 32) Une approche juridique par les risques… « le responsable de traitement et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » …Nécessitant une approche opérationnelle pragmatique

Rôle du droit souple/ Soft Law La solution face à un environnement en pleine mutation : la technologie évolue beaucoup plus rapidement que la réglementation Granularité plus fine que la loi Faire face à la globalisation du traitement des données Caractère plastique, réactif et adaptif Enjeu de concurrence internationale et de compétitivité

La normalisation, un outil de conformité Consensus entre parties intéressées Processus ouvert Volontaire Notion d’état de l’art Equilibre « entreprise/pouvoir public » pour réussir à faire face à l’évolution technologique Différents types de normes: Normes fondamentales (ex: ISO 17788) Vocabulaire, symboles, outils statistiques Normes de spécifications (ex: ISO 27001) Caractéristiques et performance de produits, services, procédés ISO 27018 Dans le cadre d’ISO 27001 et 27002 Points de contrôle destinés aux prestataires de Cloud Computing Objectifs: protection des données personnelles dans le Cloud & amélioration de la confiance dans les sous-traitants Répond aux obligations légales des clients Principe de consentement préalable Principe de transparence Notification des failles de sécurité Conservation limitée Confidentialité Accès aux données Outil approprié pour répondre aux nouvelles opportunités technologiques (Cloud, Big Data, BI ou Machine Learning)

Stratégie gagnant-gagnant Privacy By Design DPIA Art. 23 GDPR Art. 35 GDPR Anticipation des sujets relatifs aux traitements de données dès les premières étapes de leurs projets informatiques (conception des produits, services et systèmes exploitant des données à caractère personnel) => démarche de transparence Nécessaire coopération entre les services juridiques et informatiques au sein de l’entreprise Politique à mettre en œuvre pour anticiper les violations de la vie privée Si traitement implique des risques importants qui ne peuvent être contrebalancé par des mesures adéquates, consultation de l’autorité est obligatoire (Ct 84) Requis par défaut dans 3 cas Evaluation systématique et approfondie d’aspects personnels Traitement à grande échelle de catégories particulières de données Surveillance systématique à grande échelle d’une zone accessible au public Comprend: Description du traitement Evaluation de la nécessité de la proportionnalité des traitements au regard des finalités Evaluation des risques pour les droits et libertés des personnes concernées Mesures envisagées pour assurer la protection des données personnelles Modèle de PIA par la CNIL Privacy By Design Démarche pro-active Protection par défaut Transparence Stratégie gagnant-gagnant

Devoir d’alerte : notification des incidents de sécurité Art. 32, 34 & 55 GDPR Incident de sécurité = destruction accidentelle ou illégale, perte, altération, divulgation ou accès non autorisés à, des données personnelles transmises, stockées ou traitées. Si risque d’atteinte aux droits et libertés Si important risque d’atteinte aux droits et libertés Conditions de notification Exception: Lorsque le risque n’est pas susceptible de porter atteinte aux droits et libertés fondamentaux des personnes. Possibilité pour l’Autorité de décider que la notification est nécessaire ou non C’est au responsable de traitement de déterminer si l’impact est suffisamment important Conditions de notification: Exceptions: Responsable de traitement a mis en place des techniques appropriées de protection (chiffrement) Mise en place de mesures à la suite de l’incident pour s’assurer qu’un important risque ne se matérialise pas Si la notification à chaque personne concernée demande un effort disproportionné A l’Autorité de protection des données personnelles compétente Dans les 72h après constatation de l’incident Plus tard, mais devra justifier ce délai Notification sans délai à la personne concernée