LE RGPD Règlement européen sur la protection des données

PARTIE I - INTRODUCTION GÉNÉRALE SUR LE RGPD I- Qu’est ce qu’une donnée ? Les données à caractère personnel Toute information relative à une personne physique identifiée ou qui peut l’être, directement ou indirectement (CNIL) ex : données d’identité, messages échangés, pages internets consultés Chaque jour, des trillions de données sont générées, c’est le Big Data. les données dites sensibles II- Qu’est ce qu’un traitement de données ? Toute opération ou ensemble d’opérations [...] appliquées à des données à caractère personnel. pour la sociologie, la politique, pour la santé, pour l’analyse de comportement sociaux, pour le commerce (marketing etc.),

III- Quelles données sont traitées ? Les humains ne pourraient pas les gérer, elles sont trop nombreuses. On a recours à des algorithmes et à l’IA via des mécanismes de machine learning notamment. Plusieurs conséquences : beaucoup de données sont connectées ex - horaires de travail, analyse du sommeil avec les connexions internet, mouvements journaliers, loisirs, goûts: quels restaurants sont fréquentés, etc.) certaines sont utilisées dans un but différent de ce pour quoi elles ont été collectées ex - utilisation des données visibles publiquement sur les réseaux sociaux) elles ne sont pas toujours confiées de manière consciente et volontaire ex - notamment via les objets connectés ex: les jouets connectés pour enfants

IV- Que font les entreprises des données qu’elles collectent? publicités ciblées, marketing décisions automatisées avec de fortes conséquences juridiques (secteur de l’assurance par ex), revente des données, V- Quelles sont les conséquences néfastes ? atteinte aux libertés individuelles, possibilité de surveillance permanente, vulnérabilité aux cyberattaques.

VI- Pourquoi le RGPD ? Il part du postulat suivant : Cadre juridique inadéquat à l’environnement numérique d’aujourd’hui ; Protections actuelles dispersées et lacunaires. Il enracine la volonté de : Mieux encadrer la libre circulation des données et préserver le respect à la vie privée ; Permettre au consommateur de devenir le propriétaire de sa donnée et exercer un suivi sur celle-ci ; Harmoniser à grande échelle, pour plus de cohérence et d’organisation.

VII- Le RGPD a des principes ! Licéité, transparence et loyauté, Limitation des finalités, Minimisation des données, Exactitude, Limitation dans la conservation, Intégrité et confidentialité.

VIII- Quand se préparer à l’entrée en vigueur du RGPD? Get ready! Dès le 25 Mai 2018 : le règlement européen s’applique directement en France, dès son entrée en vigueur. Et donc? Il faut auditer dès maintenant son entreprise et enclencher le processus de mise en conformité (les sanctions sont lourdes)

Etes vous en retard ? Assurément, mais : A 5 mois de l’entrée en vigueur du RGPD : seulement 6% des acteurs concernés sont conformes. 90 % des sites ne demandent pas encore le consentement à la collecte de données personnelles ou cochent encore par défaut (ce qui est interdit avec le RGPD). D’autres ont pris de l’avance : 80% des acteurs sur internet tel que les GAFA et autres réseaux sociaux sont déjà conformes.

IX- Qui est concerné par le traitement des données? Toutes les entreprises dont le siège social se situe au sein de l’UE ou qui en exercent une partie de leur activité et qui collectent des données sur les ressortissants de l’UE. Ainsi que certaines entreprises extérieures : celles dont la Commission européenne a rendu une “décision d’adéquation”, attestant que ce pays assure un niveau de protection des données suffisant. Mécanismes de facilitation mis en place - BCR (Binding corporate rules), clauses type de protection des données, codes de conduite, mécanismes de certification etc. Ex: accord privacy shield portant sur l’accès par les autorités publiques américaines aux données transférées des ressortissants de l’UE.

X- Quid de l’application du RGPD dans les nouvelles technologies émergentes Big Data : est encadré par le RGPD et toute entreprise utilisant les mécanismes issus du Big Data (algorithmes, machine learning etc.) devra s’y conformer. Blockchain : n’est pas épargnée, l'anonymat peut être facilement levé. Tout recours à la Blockchain devra se conformer au RGPD. Crypto monnaies : Les participants achètent directement ces monnaies virtuelles sur des plateformes qu’il peuvent échanger en monnaies à cours légal dans des bureaux de change électroniques (ex: Maison du bitcoin). Cette pratique recueille des données personnelles soumises au RGPD (adresse publique). Objets connectés : montres, balances etc. récoltent par définition des données personnelles, tout entrepreneur devra se mettre en conformité.

PARTIE II- RGPD EN PRATIQUE Titre 1 - RGPD et conséquences sur les sociétés Nouveautés du RGPD pour les responsables de traitements La déclaration préalable est supprimée pour être remplacée par un système de contrôle (tenue d’un registre qui doit être mis à disposition de la CNIL à tout moment), Une responsabilité totale pour tous les acteurs traitant de la donnée, qu’ils soient donneur d’ordres ou sous traitants. Le donneur d’ordre devra s’assurer que ses prestataires sont en conformité avec le règlement ET INVERSEMENT. A défaut, il engage sa responsabilité. Le cas des sous-traitants

II- Nomination d’un délégué à la protection des données Obligation de : nommer Délégué à la protection des données (DPO) Successeur du correspondant informatique et liberté, avec des prérogatives et des missions renforcées. Le DPO peut être un membre du personnel du responsable de traitement ou du sous-traitant (s’il présente des garanties d’indépendance), ou exercer ses missions sur la base d’un contrat de service. Attention : Le DPO doit être indépendant et avoir une formation juridique et des connaissances étendues en protection des données. Seulement 5% des acteurs anticipent sa mise en place.

III- Quid d’un DPO dans les startups ? Même si le DPO n’est obligatoire que dans certaines situations (autorités publiques ou organismes traitant des données à grande échelle), il est conseillé aux entreprises de recourir à ses services pour coordonner l’opération de traitement. Le DPO a un rôle pivot au sein de l’entreprise. Il conseille et contrôle le dispositif mis en place. Il fait également le lien avec la CNIL et les utilisateurs. le DPO peut avoir une double (ou triple) casquette et n’est pas obligé d’exercer cette fonction à temps plein. Il peut être l’informaticien ou le juriste de la startup qui a des connaissances pointues sur les données personnelles.

IX- La création d’un système de certification Un registre des activités de traitement doit être tenu par le responsable du traitement et le sous-traitant. Principal outil permettant de prouver le respect des obligations imposées par le RGPD. Il doit être mis à disposition de la CNIL.

X- La réalisation d’études d’impact sur la vie privée (EIVP) Meilleur moyen de prévenir les risques. Utilité : décrire les opérations envisagées, les finalités et l’intérêt légitime poursuivi par l’entreprise. Elle est optionnelle, sauf dans certains cas (traitements automatisés à grande échelle). Elle conditionne l’adoption de mesures susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques. L’objectif est d’évaluer les risques potentiels et exige que le responsable prenne conseil auprès du DPO. Mise à disposition d’un logiciel libre PIA par la CNIL, qui permet aux entreprises d’anticiper cette exigence.

XI- Les sanctions Leur montant est calculé selon plusieurs critères, comme la gravité de la violation, sa durée, le caractère négligent ou imprudent du responsable, son degré de coopération avec les autorités de contrôle etc. Le règlement fixe un plafond, en cas d’infraction l’amende maximale portée à 20 millions d’euros ou 4% du CA mondial annuel, le montant le plus important étant retenu. Si l’on transpose l’amende infligée par la CNIL à Facebook, celle-ci passerait de 15 000 euros à 1 milliard ! En France, le plafond est pour l’instant fixé à 3 M €. L’entreprise devra être en mesure, A TOUT MOMENT, de démontrer à la CNIL qu’elle est conforme aux nouvelles dispositions. Le délai maximum à respecter est de 72H !

XII- Quelques conseils L’anonymisation: irréversible, elle permet d’altérer le lien entre les données personnelles et l’individu, La pseudonymisation : protège les données via le hachage, la cryptographie ou le chiffrement, Minimisation de la collecte : seules les données nécessaires doivent être collectées et conservées.

Titre 2- LE RGPD pour les personnes I- Le droit à l’oubli (article 17 du RGPD) Conditions ? consentement retiré, finalité disparue, traitement illicite, opposition au traitement et aucun motif légitime impérieux de la maintenir etc. Obligations pour le responsable du traitement ? Procéder à l’effacement des données et le prouver, informer les tiers ayant reçu les données concernées afin que tous les liens vers ces données soient supprimés répondre à la demande faite par les proches du défunt pour que les données soient actualisées en conséquence. Sauf si disproportion entre les mesures à prendre pour le responsable de traitement afin procéder à l’effacement des données et l’intérêt de la personne.

II- Le droit à la portabilité des données personnelles volonté de réduire les coûts pour les consommateurs (ex - s’ils veulent changer d’opérateurs), une personne peut demander à ce que ses données soient transmises à un responsable de traitement tiers, uniquement si cela est techniquement et effectivement possible

III- Le droit d’opposition Si une personne s’oppose au traitement de ses données personnelles, le responsable des traitements doit interrompre le processus et démontrer que le traitement repose sur des motifs légitimes et impérieux. Respect des libertés individuelles - nécessité du consentement

IV- Le transfert des données hors UE Le principe posé est simple : aucun transfert vers un pays tiers (hors EU) ou une organisation internationale ne peut avoir lieu si les conditions posées par le RGPD ne sont pas réunies. Cette exigence bénéficie d’une sorte de droit de suite : tous les transferts successifs, à savoir ceux qui seront effectués du pays tiers destinataire vers un autre pays tiers, devront également répondre aux exigences du RGPD

V. Comment se préparer à la mise en conformité ? 6 étapes pour se mettre en conformité : Désigner un correspondant pour piloter la mise en conformité, son rôle sera repris ensuite par le DPO, Recenser les données personnelles traitées et les cartographier, Identifier les actions à mener et prioriser les actions au regard des risques, Si certaines données sont susceptibles d’engendrer des risques élevés, commencer à créer une analyse sur la protection des données (PIA), Réorganiser le processus interne de traitement des données, en prenant en compte toutes les étapes nécessaires (faille de sécurité, modification des données collectées etc.), Constituer la documentation nécessaire prouvant la mise en conformité.

Récapitulatif / Comment se mettre en conformité ? Ordre de raisonnement à adopter : Au niveau interne: Quelles catégories de personnes ? Quels types de données ? Où sont ces données ? Quel traitement est actuellement fait ? Au niveau des partenaires : Qui me transmet les informations ? Quels sont les prestataires ? Qui a accès à ces données ? A qui je transmets ces informations ?

VI. Quels sont les avantages du RGPD ? Pour les startups - Valoriser son image de marque Une startup éthique qui respecte la vie privée de ses clients ou consommateurs attire & fidélise. Les personnes sont de plus en plus attentives à la protection de leurs données Conseils voir au delà - développer + le concept de Privacy by design (ex - chiffrement des données par des procédés cryptographiques etc.) communiquer aux internautes et leur expliquer de manière accessible et ludique quelle donnée est collectée pour quel usage (ex: par le biais d’un user friendly) Préparer un processus simple permettant la suppression des données ou leur portabilité, pour montrer à l’utilisateur qu’il a l’entière maîtrise de ses données

Pour les consommateurs - Saisir l’opportunité de maîtriser ses données - Être proactif dans la protection de ses données - Vérifier quelles données sont collectées, auprès de qui, en demander l’effacement. Par exemple notamment dans les moteurs de recherche

VII- Prospective: le RGPD réel bouclier pour le consommateur? Depuis plusieurs années les publicités en ligne ont connu une nette progression notamment grâce à la collecte des données personnelles - publicités ciblées Le RGPD va permettre d’assainir le marché de la publicité en régulant très largement les publicités ciblées : l’intérêt légitime devra être mieux justifié que le simple : “Nous collectons vos données pour améliorer votre expérience” D’autres secteurs vont être très largement impactés tels que les algorithmes présents sur les réseaux sociaux et la visibilité des contenus dits “presse numérique”.

VIII- LE RGPD est-il à la hauteur des attentes Constat : Le RGPD est une version plus intégrée, mieux approfondie, de principes et préceptes existants. Des difficultés à assimiler ? Le manque de temps et de budget ; Trop de vulnérabilités : les indicateurs de risque et les outils de management du risque peuvent aider à prioriser, mais vous devez procéder par étapes pour ne pas vous décourager au vue de la masse de travail (commencez par les vulnérabilités critiques);

QUESTIONS ET REMERCIEMENTS