GDPR : QUELS DROITS POUR LES PERSONNES ? MN GIBON 10 juin2016 Document Public
Introduction La conformité, c’est quand ? 24 mai 2016 25 mai 2018 2 10/06/2016 GDPR et Droit des Personnes-MNG 2
Traitements spécifiques Les changements induits par le Règlement : un cadre stable CH XI Dispositions Finales Art.94-99 CH I Dispositions Générales Art.1-4 Actes délégués CH X et actes d'exécution Art.92-93 Principes CH II Art.5-11 CH IX Traitements spécifiques Art.85-91 GDPR Voies de recours, responsabilité et Sanctions Art.77-84 CH VIII RT et Sous-Traitant CH IV Art.24-43 CH VII Coopération et Cohérence Art.60-76 CH VI Autorités de CTL independantes Art.51-59 10/06/2016 GDPR et Droit des Personnes-MNG
Les changements induits par le Règlement : des pratiques nouvelles 4 10/06/2016 GDPR et Droit des Personnes-MNG
La numér-ère RGPD : le contexte Toutes les minutes : 350 000 Tweets 15 millions de SMS 200 millions de mails 250 gigaoctets d’information sont archivés sur Facebook 1 740 000 gigaoctets (Go) d'informations sont publiés dans le monde Tous les jours Google traite plus de 24 peta-octets de données soit 24 millions de milliards d’octets En 2016, 6,3 Md€ d’objets connectés En 2020, 25 Milliards d’objets connectés De 2013 à 2020, la masse de données de l'univers digital va doubler tous les deux ans ! A lire : 30 objets connectés par foyer français en 2020 La numér-ère 5 10/06/2016 GDPR et Droit des Personnes-MNG
Obligation de notification Limitation du traitement RGPD et le droit des personnes Les points clé « Transparence » Pour les manquements à tes obligations sanctionné tu seras 2. Droit d’accès 3. Rectification 1. Information 5. Obligation de notification 6. Limitation du traitement 4. Effacement ( droit à l’oubli) 2% 4% 9. Profilage 7. Portabilité 8. Opposition Consentement 6 10/06/2016 GDPR et Droit des Personnes-MNG 6
+ Consentement (art.7) Définition Recueil Retrait « toute manifestation de volonté, libre.., éclairée, par laquelle la personne concernée accepte…par un acte positif.. ». Recueil Case à cocher ou paramétrages techniques (cons.32) Présenté séparément sous une forme accessible Retrait À tout moment Pour les traitements ultérieurs Consentement des mineurs + 7 10/06/2016 GDPR et Droit des Personnes-MNG
Transparence de l’information Transparence et Modalités de l’exercice des droits (art.12) Transparence de l’information « Le responsable du traitement prend des mesures appropriées pour fournir toute information (…) d'une façon compréhensible et facilement accessible, en des termes clairs et simples ». Procédures et Modalités de l’exercice des droits de la personne concernée Par un moyen électronique Par courrier Réponse sous un mois à réception de la demande 8 10/06/2016 GDPR et Droit des Personnes-MNG
++ Renforcement de l'obligation d'information Informations à fournir (art. 13) lorsque les données sont collectées auprès de la personne concernée Identité du Responsable de Traitement Données de contact du RT + DPO Finalité du traitement + base légale Durée de conservation L’ Intérêt légitime poursuivi par le RT Les destinataires ou catégories de destinataires Transfert hors UE avec type de garantie (CCT/BCR) et comment en obtenir une copie Droit des personnes Droit d’introduire une réclamation auprès d’une autorité de contrôle Existence d’une prise de décision automatisée comprenant un profilage avec la logique sous jacente et conséquences pour la personne + Si données réutilisées pour une autre finalité, fournir les informations adéquates à la personne concernée ++ Renforcement de l'obligation d'information 9 10/06/2016 GDPR et Droit des Personnes-MNG
++ Renforcement de l'obligation d'information 1 mois Informations à fournir (art. 13) lorsque les données n’ont pas été collectées auprès de la personne concernée Identité du Responsable de Traitement Données de contact du RT + DPO Finalité du traitement + base légale Les catégories de données concernées Durée de conservation Les Intérêts légitime poursuivi par le RT Les destinataires ou catégories de destinataires Transfert hors UE avec type de garantie (CCT/BCR) et comment en obtenir une copie Droit des personnes Droit d’introduire une réclamation auprès d’une autorité de contrôle 10. l’origine des données 11. Existence d’une prise de décision automatisée comprenant un profilage avec la logique sous jacent et conséquences pour la personne 1 mois Au + tard 1ere fois qd data transmises ++ Renforcement de l'obligation d'information 10 10/06/2016 GDPR et Droit des Personnes-MNG
Renforcement du droit d’accès Droit d’accès (art.15) Accès aux informations relatives au traitement 000111000111111 Finalité du traitement Les catégories de données traitées Les destinataires des données Durée de conservation Les droit d’opposition / restriction Droit d’introduire une réclamation auprès d’une autorité de contrôle Origine des données Existence d’une prise de décision automatisée comprenant un profilage avec la logique sous jacent et conséquences pour la personne Transfert hors UE avec type de garantie (CCT/BCR) ++ Renforcement du droit d’accès 11 10/06/2016 GDPR et Droit des Personnes-MNG
Droit d’accès (art.15) Accès à ses informations Procédure de demande et formulaires type D’accès aux informations Vérification identité de la personne concernée Communication des données à la personne concernée My data Almost 12 10/06/2016 GDPR et Droit des Personnes-MNG
1 Principe MODIFIE Droit de rectification ( art.16) Données inexactes Données à compléter compte tenu de la finalité du traitement MODIFIE 1 13 10/06/2016 GDPR et Droit des Personnes-MNG
Consécration du droit à l’oubli Droit à l’effacement (art.17) Principe : à sa demande la personne concernée peut demander l’effacement des informations la concernant Sous condition les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière; la personne concernée retire le consentement sur lequel est fondé le traitement, (…), et il n'existe pas d'autre fondement juridique au traitement; la personne concernée s'oppose au traitement ; les données à caractère personnel ont fait l'objet d'un traitement illicite; les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis; les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1auprès d’un enfant Répercussion aux tiers / données rendues publiques 000111000111111 000111000111111 000111000111111 Consécration du droit à l’oubli 14 10/06/2016 GDPR et Droit des Personnes-MNG 14
Obligation de notification (art.19) Rectification Effacement Notification aux tiers 000111000111111 000111000111111 000111000111111 15 10/06/2016 GDPR et Droit des Personnes-MNG
un nouveau statut à la donnée Limitations des traitements (art.19) un nouveau statut à la donnée AVANT APRES TRAITEMENT SUSPENDU CONSERVEES Traitées supprimées A titre de Preuve si contentieux contre un tiers Mesure précontentieuse Si traitement illicite Not OK data inexactes opposition 16 10/06/2016 GDPR et Droit des Personnes-MNG
Portabilité Réversibilité légale au profit des personnes Droit à la portabilité (art.20) Possibilité pour les personnes de demander copie des données les concernant dans un format électronique pour pouvoir les transmette à un autre RT Si techniquement possible Transfert direct de RT à RT Réversibilité légale au profit des personnes Impact sur les applications ! Portabilité 17 10/06/2016 GDPR et Droit des Personnes-MNG 17
++ Les principes restent les mêmes Droit d’opposition(art.21) Les principes restent les mêmes Plus de nécessité de démontrer un intérêt légitime Le Responsable de traitement peut démontrer un intérêt légitime (sauf prospection) Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant, y compris au profilage dans la mesure où il est lié à une telle prospection » Renforcement en matière de marketing : “Ce droit devrait être explicitement porté à l’attention de la personne concernée et présenté clairement et séparément de toute autre information » ++ 18 10/06/2016 GDPR et Droit des Personnes-MNG
Prise de décision individuelle automatisée Profilage (art.22) Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire Exceptions Nécessaire à la conclusion d’un contrat Autorisé par la loi Consentement de la personne Droit d’information Existence d’une prise de décision automatisée comprenant un profilage avec la logique sous jacente et conséquences pour la personne Profilage « Toute forme de traitement automatisé de données à caractère personnel …pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ». droit d'obtenir une intervention humaine Exposer son point de vue Contester la décision 19 10/06/2016 GDPR et Droit des Personnes-MNG
Droit d’introduire une réclamation auprès d’une autorité Droit de recours Droit d’introduire une réclamation auprès d’une autorité de contrôle (art.77) Droit à un recours juridictionnel (art. 78 et 79) Action de groupe (art.80) Les personnes peuvent confier à une association ou une organisation la faculté de déposer une plainte en leur nom Dès lors que cette organisation a pour mission la protection des données et des libertés Droit à réparation (art.82) 20 10/06/2016 GDPR et Droit des Personnes-MNG
Conclusion CONFIANCE 21 10/06/2016 GDPR et Droit des Personnes-MNG