Confidentiel – Reproduction interdite

Slides:



Advertisements
Présentations similaires
© 2006 Les Éditions de la Chenelière inc., La gestion dynamique: concepts, méthodes et applications, 4 e édition1/11 Chapitre 2: Environnements 2.1 Les.
Advertisements

JRES FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT.
S ÉMINAIRE DE FORMATION DES FORMATEURS POUR LA GOUVERNANCE DE L’INTERNET LES INNOVATIONS NUMÉRIQUES ET LES QUESTIONS ÉMERGENTES: « LE CADRE JURIDIQUE DE.
Protocole de gestion de dysfonctionnements Françoise JEGADEN Assistante Sociale Grand Port Maritime Le Havre.
1 Business Unit Management Contractuel des Affaires et des Engagements Juridiques État des Lieux, Chiffres Clés, Problématiques métiers GREEN Conseil GREEN.
LE REGIME DES SANCTIONS INTERNATIONALES Ana Atallah, Avocat aux Barreaux de Paris et New York
L’impact du RGPD sur l’organisation et l’activité des entreprises
Table ronde n°2 Résultats de l’étude réalisée par l’OSI et
Arnaud David Juriste Senior - Microsoft
ANALYSE D’IMPACT / ANALYSE DE RISQUE DANS LE RGPD
Bac pro gestion-administration Choisir de se former …
Equipe pédagogique: Comptabilité générale
La pénibilité au travail : Au moins 3 grands enjeux
Les parties intéressées
Le suivi évaluation : de quoi s'agit-il et à quoi cela sert-il ?
Sites Internet et Protection des données à caractère personnel
Leçon d’éthique Thème: PROTECTION DES DONNEES / RESEAUX SOCIAUX     Objectifs : - Comprendre pourquoi la protection des données et celle de la sphère.
Des questions pour poursuivre la réflexion
Rappel de quelques notions importantes en matière de gestion de déchets de chantiers. Mai 2016.
Vers une nouvelle gouvernance de la donnée personnelle
Evolutions réglementaires en cours
La Sécurité au CERN Etre TSO au CERN Etre TSO au CERN
2.5 Loi informatique et libertés
Le notaire et le droit des données personnelles
CONFERENCE ANNUELLE DE L’ASSOCIATION DES ACHETEURS PUBLICS (AAP)
PRIVACY.
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Le Règlement européen sur la protection des données personnelles
POINT SUR L’ACTUALITE REGLEMENTAIRE
Le GDPR, ses contraintes et ses opportunités …
LES I.R.P REUNION D’INFORMATIONS INSTANCE REPRÉSENTATIVE DU PERSONNEL HÔTELLERIE RESTAURATION.
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
BANQUE DES DONNEES FINANCIERES CÔTE D’IVOIRE
données personnelles La protection des
Protégez l’entreprise contre les attaques informatiques
Présentation au COTER Jeudi 7 décembre 2017
MARQUAGE CE.
LA RGPD 2018 Mise en conformité de votre OF
À l’origine de la réglementation CLP 2003: Le GHS (Global Harmonized System) le système général harmonisé de classification et de l’étiquetage des produits.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
CONSEILS DEPARTEMENTAUX
Règlement général sur la protection des données
Comprendre l'évaluation des capacités phytosanitaires (ECP)
Règlement général sur la protection des données
Directrice de la Conformité
LE RÉFÉRENTIEL LES 4 BLOCS DE COMPÉTENCES
Le règlement europeen sur la protection des données personnelles
Le GDPR en 20 minutes - Quelques questions choisies
Le Règlement européen général sur la protection des données (RGPD)
Présentation de suderiane
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Faire progresser l’égalité de traitement à l’égard des personnes LGBTI dans l’Union européenne #EU4LGBTI.
Règlement général sur la protection des données
Intervenant : Patrick DUGUÉ Consultant - Formateur
Gestion sociale et conditions de travail. Plan o Définition de la gestion sociale o Les objectifs de la gestion sociale o Définition des conditions de.
CETE APAVE Sudeurope JT levage1-généralités Janvier 2005 Journée technique levage: 1- Généralités 1 Programme 8h30 Accueil des participants 8h45 Généralités.
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
LE RGPD Règlement européen sur la protection des données
Le nouveau règlement sur la vie privée
Loi Sapin 2 : anticorruption
Référentiel RGPD du LabRC
Outil d’assistance à la mise en conformité de votre entreprise au RGPD.
QUELQUES ELEMENTS DE CONTEXTE
Registre des activités de traitement
Module 1 : principes généraux I&L
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information.
Etienne Kairis et Marie-Caroline Morelle 16 octobre 2018
Télémédecine et protection des données personnelles
Transcription de la présentation:

Confidentiel – Reproduction interdite ECLAIRAGE SUR LA NOUVELLE REGLEMENTATION RGPD Business sans tabou - Mardi 13 mars 2018 Par Nina Gosse, avocat chez de Gaulle Fleurance & Associés Confidentiel – Reproduction interdite

Pourquoi s’intéresser à ce sujet ? Ce nouveau règlement européen prévoit des sanctions lourdes mais pas que…. Sanctions financières peuvent aller jusqu’au plus élevé de 2 ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent – pour une entreprise – ou dans tous les cas, 10 ou 20 millions d’euros (selon la nature de l’obligation violée) Autres risques : suspension ou arrêt du traitement, suppression des fichiers, publicité par la CNIL, action de groupe,... (ne pas oublier les risques réputationnels ! ) Au-delà des sanctions, des opportunités de création de valeur (meilleure connaissance et exploitation de son patrimoine informationnel)

Pourquoi s’intéresser à ce sujet ? D’où peut provenir le risque… des contrôles mais aussi de la délation suite à des actions de : Vos concurrents Vos salariés / syndicats / … Vos clients Vos prestataires / fournisseurs D’organisations de consommateurs / de fédération ….

CONTEXTE – De quoi s’agit il ? … Le Règlement n°2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR), vise à protéger les données personnelles des personnes physiques traitées par les organisations dès lors qu’elles sont établies dans l’UE ou qu’elles visent des résidents européens (offres de biens/services ou suivi du comportement de ces personnes). Après une période transitoire de 2 ans, ses dispositions seront directement applicables dans l'ensemble des 28 États membres à compter du 25 mai 2018. Nécessité pour les entreprises d’adopter un plan de mise en conformité en vue de cette échéance.

Le périmètre / le champ d’intervention Champs d’application matériel et territorial large Application directe du RGPD dans les Etats Membres (EM) de l’UE La mise en œuvre du RGPD concerne toutes les entreprises qui collectent, utilisent ou stockent des données à caractère personnel (DCP) de manière automatisée ou sous forme de fichiers (salariés, clients, prospects, fournisseurs, partenaires,…) en format informatique et/ou papier. Le RGPD concerne les activités de traitement réalisées dans le cadre des activités d’un responsable de traitement (RT) et/ou ou des sous-traitants (ST) établis dans l’UE et hors UE lorsque : Il s’agit d’un traitement de DCP relatives à des personnes se trouvant sur le territoire de l’UE dans le cadre d’activités liées à une offre de biens ou de services adressée à ces personnes OU si les traitements concernent le suivi du comportement de ces personnes au sein de l’UE Le traitement de DCP par un RT établi hors UE, a lieu dans un endroit où le droit d'un Etat Membre s'applique en vertu du droit international public 08/01/2018 Confidentiel – Reproduction interdite

Le RGPD : la vue macroscopique Qu’est ce qu’un « traitement de données personnelles » soumis au RGPD ? (articles 2, 4 & 9) Donnée à caractère personnel (DCP) : information se rapportant à une personne physique qui peut être identifiée directement ou indirectement notamment par référence à un identifiant. (numéro, données de localisation, identifiant en ligne ..) ou à des éléments spécifiques à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale Traitement : opération réalisée avec des procédés automatisés ou non appliquée à des DCP : collecte, enregistrement, organisation, structuration etc… Donnée « sensible » : DCP qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques et l’appartenance syndicale, les données génétiques, données biométriques aux fins d’identifier une personne physique de manière, données de santé ou vie sexuelle ou orientation sexuelle

Le RGPD : En faire une valeur ajoutée pour l’entreprise Réaffirmation / renforcement de droits existants : consentement, information, accès, etc. Création de nouveaux droits : portabilité, oubli, recours collectifs, etc. Organisation interne à repenser : pour la plupart des entreprises, registre des traitements, nomination d’un Data Protection Officer (DPO), notification des failles, sensibilisation/formation/responsabilisation des salariés, politique de conservation de DCP, ... Anticipation des risques et protection des DCP dès la conception des projets et des technologies et par défaut (privacy by design et privacy by default) Mesures techniques à adopter y compris en matière de sécurité (normes, codes de conduite,...) Sanctions financières peuvent aller jusqu’au plus élevé de 2 ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent – pour une entreprise – ou dans tous les cas, 10 ou 20 millions d’euros (selon la nature de l’obligation violée) Autres sanctions possibles : suspension ou arrêt du traitement, suppression des fichiers, publication par la CNIL,... (ne pas oublier les risques réputationnels!) Une nouvelle autorité européenne de contrôle sera mise en place tandis que les autorités nationales verront leurs pouvoirs renforcés Renforcement des droits des personnes concernées Auto-évaluation (accountability) / mesures de prévention des risques  pas de formalité préalable (sauf exception(s) de droit subsidiaire national d’un Etat membre) Une obligation aussi car des sanctions en cas de violation Confidentiel – Reproduction interdite

Faire évoluer les pratiques (conduite du changement) Le RGPD, comment faire ? Cartographier les traitements de données personnelles Impliquer l’ensemble des parties prenantes (juridique, DSI,…) et organiser la gouvernance du projet Définir un plan d’action et une stratégie de mise en œuvre Faire évoluer les pratiques (conduite du changement) 8 Confidentiel – Reproduction interdite

Confidentiel – Reproduction interdite Le RGPD, comment faire ? Des facteurs de complexité pour les entreprises : Coûts de mise en œuvre Absence de recul sur les nouvelles dispositions…et celles à venir… Imbroglio législatif et réglementaire Trouver le bon DPO / prestataire externe Outillage pour être dans les règles Les fondamentaux juridiques sont néanmoins relativement simples à mettre en œuvre pour éviter les sanctions les plus graves…. 9 Confidentiel – Reproduction interdite

Marie-Mathilde Deldicque: mmdeldicque@dgfla.com Merci pour votre attention! Nina Gosse Tel direct : + 33 1 56 64 17 21 Mob : + 33 6 80 67 70 87 E-mail : ngosse@dgfla.com Autres avocats ayant participé à la rédaction de ce document et agissant sur le RGDP: Cécile Théard-Jallu: ctheardjallu@dgfla.com Blandine Fauran : bfauran@dgfla.com Georgie Courtois : gcourtois@dgfla.com Marie-Mathilde Deldicque: mmdeldicque@dgfla.com De Gaulle Fleurance & Associés 9 rue Boissy d’Anglas – 75008 Paris – France – Tél.: +33 (0)1 56 64 00 00 – Fax.: +33 (0)1 56 64 00 01 222 avenue Louise – 1050 Bruxelles – Belgique – Tél.: +32 (0)2 644 01 64 – Fax.: +32 (0)2 644 31 16 www.degaullefleurance.com #BusinessLawTogether