Le GDPR en 20 minutes - Quelques questions choisies

Slides:



Advertisements
Présentations similaires
Maison départementale des personnes handicapées Document réalisé par I.Issartel Assistante Sociale au CEOR Sources : MDPH 26.
Advertisements

Protocole de gestion de dysfonctionnements Françoise JEGADEN Assistante Sociale Grand Port Maritime Le Havre.
Directive émissions industrielles (IPPC review) Position initiale de la Belgique Michel Amand DGRNE - DCE Pilote belge révision IPPC CCPIE Stakeholders.
Publicité en ligne et données personnelles
L’impact du RGPD sur l’organisation et l’activité des entreprises
Arnaud David Juriste Senior - Microsoft
Conférence de presse
La pénibilité au travail : Au moins 3 grands enjeux
Sites Internet et Protection des données à caractère personnel
ORGANISATION ET PLANIFICATION INSTITUTIONNELLES
DOMAINE D’APPLICATION
COMMUNICATION SPECIALE JOURNEE D’INFORMATION 13 NOVEMBRE 2016
Maîtrise du contenu ( suite )
Accords d’Exécution – Accords de Financement
GDPR : QUELS DROITS POUR LES PERSONNES ?
Vers une nouvelle gouvernance de la donnée personnelle
08/05/2018 Rôle et place des programmes de conformité dans la politique antitrust : l’exemple français Emmanuel COMBE Vice Président de l’Autorité de.
Le notaire et le droit des données personnelles
CONFERENCE ANNUELLE DE L’ASSOCIATION DES ACHETEURS PUBLICS (AAP)
Relations associations et collectivités publiques
PRIVACY.
Et la vie lycéenne Vous présentent.
Fonds « Asile, migration et intégration (AMIF) »
Et la vie lycéenne Vous présentent.
Le Règlement européen sur la protection des données personnelles
Marguerite OUEDRAOGO BONANE
Le GDPR, ses contraintes et ses opportunités …
Lutter contre les atteintes aux droits de la personnalité en ligne
Companies’ Accountability for Data Protection
la structure de l’entreprise: Définition : La structure organisationnelle d’une entreprise définie le mode d’organisation entre les différentes unités.
LA MEDIATION PREALABLE OBLIGATOIRE
COOPERATION Regard européen L. Ghekiere – AND
LA GOUVERNANCE DES MARCHES PUBLICS Les intervenants:
données personnelles La protection des
Protégez l’entreprise contre les attaques informatiques
Présentation au COTER Jeudi 7 décembre 2017
MARQUAGE CE.
LA RGPD 2018 Mise en conformité de votre OF
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Règlement général sur la protection des données
Règlement général sur la protection des données
Directrice de la Conformité
Le rapport de l'État partie
Confidentiel – Reproduction interdite
Le Règlement européen général sur la protection des données (RGPD)
Présentation de suderiane
TRANSFORMATION DE MARQUE COMMUNAUTAIRE PAR LES OFFICES NATIONAUX PRESENTATION DE L’OFFICE FRANCAIS ALICANTE 15 et 16 juin 2006 © INPI - A.BERGUERAND.
Projet de service Direction du Développement économique et de l’emploi
Les points clés du protocole de travail entre médecin/infirmier
Le Règlement Général sur la Protection des Données personnelles (RGPD)
Mathématiques – Physique – Chimie Au CAP Tous les CAP !
Règlement général sur la protection des données
Intervenant : Patrick DUGUÉ Consultant - Formateur
CETE APAVE Sudeurope JT levage1-généralités Janvier 2005 Journée technique levage: 1- Généralités 1 Programme 8h30 Accueil des participants 8h45 Généralités.
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
Le nouveau règlement sur la vie privée
Loi Sapin 2 : anticorruption
QUELQUES ELEMENTS DE CONTEXTE
Registre des activités de traitement
Module 1 : principes généraux I&L
LE RGPD ET LES DROITS A LA PERSONNE - LE DROIT D’ACCES
« il ne faut pas vivre la protection des données personnelles comme une contrainte, mais en tant qu’élément culturel qui contribue à la culture des droits.
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information.
Télémédecine et protection des données personnelles
Le RGPD et le traducteur SFT 27/04/2019
Travaux internationaux : BEPS, transparence, etc.
2.5. La réorientation des prospects Textes de référence Exigence de la norme AFNOR NF X §3.2 « c) Assurer un accueil physique et/ou téléphonique.
CR-GR-HSE-405 Hygiène industrielle
CR-GR-HSE-302 Gestion du changement
Transcription de la présentation:

Le GDPR en 20 minutes - Quelques questions choisies 28 juin 2017 Etienne Wéry Avocat, cabinet Ulys etienne.wery@ulys.net

www.gdpr-expert.eu Pour chaque article du Règlement : le texte du Règlement ; le texte correspondant de (l'ancienne) Directive ; le texte correspondant de la loi française ; le texte correspondant de la loi belge ; le(s) considérant(s) pertinents du règlement ; les versions intermédiaires du règlement. En outre, pour chaque article, trois analyses : D’où vient-on ? ; Où va-t-on ? ; Problèmes probables ?

Quelques nouveaux principes généraux Les principes existants de loyauté et de licéité du traitement sont complétées par l’énoncé d’un principe général de transparence; Le principe de minimisation des données est consacré, selon lequel seules les données à caractère personnel qui apparaisse nécessaires à la réalisation de la finalité peuvent être traitées; Un devoir général de sécurité et de confidentialité du traitement; Une obligation de notification à l’autorité de contrôle, des violations de données (toutes, sauf celles qui ne paraisse pas faire courir de risques aux droits et libertés individuelles et personnes concernées) ; Une obligation de notification aux personnes concernées, des violations de données (seulement celles qui exposent celle-ci à un risque élevé par rapport à leurs droits et libertés). Durée de conservation des données.

Principe général de responsabilité qui se décline en deux volets « Protection by design » Prendre des mesures et procédures techniques et organisationnelles appropriées dès la conception du traitement et tout au long de sa mise en œuvre, afin de le rendre conforme Principe général de responsabilité qui se décline en deux volets « Protection by default » Adopter des mesures consistant à limiter par défaut le traitement à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et leur période de conservation. Cela s’ajoute à la pertinence des données qui demeure.

Des adultes supposés être responsables L’approche administrative antérieure est abandonnée. Est donc aussi abandonnée, la relative impunité qu’elle procurait parfois. L’article 35 prévoit que lorsqu’un traitement est susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés, notamment les traitement qui recourent aux nouvelles technologies, le responsable doit effectuer une analyse d’impact. Le responsable (ne) doit consulter l’autorité de contrôle (que) lorsque l’analyse d’impact révèle que le traitement présente un risque élevé en cas d’absence de mesures appropriées. Une approche qui connaissent déjà les gérants des « systèmes qualité » de type ISO ou Afnor. Je documente ce que je fais, je fais ce que j’écris, j’évalue et je modifie si nécessaire. Ce n’est en rien un cadeau : c’est un cadeau empoisonné.

Champ territorial élargi : un règlement anti US? Le règlement s’applique au responsable et/ou sous-traitant dès lors que les activités de traitement sont liées : à l’offre de biens ou de services à des personnes physiques situées sur le territoire de l’Union, ou à l’observation des comportements humains, pour autant que ces comportements interviennent au sein de l’Union La localisation de l’établissement (critère existant) vise désormais tant celui du responsable du traitement que celui du sous-traitant. Champ territorial élargi : un règlement anti US?

Certains droits neufs et d’autres renforcés Nouveau ! Droit à l’oubli numérique et l’effacement. Cela implique l’obligation de suite (la chaîne doit suivre tous les tiers à qui des données ont été antérieurement transmises). Nouveau ! Droit à la limitation du traitement dans plusieurs cas (notamment : exactitude d’une donnée, illicéité, vérification de la balance des intérêts). Nouveau ! Portabilité des données qui permet, dans plusieurs cas, de recevoir les données à caractère personnel fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. Renforcé ! Droit d’opposition conditionné lorsque la licéité repose sur la balance des intérêts. Droit d’opposition général lorsque le traitement est effectué à des fins de prospection, y compris le profilage. Renforcé ! Traitement automatisé produisant des effets juridiques. Certains droits neufs et d’autres renforcés

Du CIL au DPO Un DPO doit être désigné dans les 3 hypothèses de l’article 37.1 : autorité publique ou organisme public (sauf les juridictions); activités de base = suivi régulier et systématique à grande échelle; activités de base = traitement à grande échelle de donnée sensibles. Un DPO peut être désigné volontairement Le DPO doit être une personne qualifiée : connaître la loi, connaître l’organisme et le secteur, être compétent techniquement. Le DPO est protégé : il doit jouir d’une indépendance (financière, organisationnelle), ne pas être placé en situation de conflit d’intérêts et ne pas être sanctionné pour l’accomplissement de sa mission. Missions diverses : il informe, conseille, surveille, contrôle, représente, avertit/agit, coopère, trie les infos.

Les sanctions Plaintes devant l’autorité de contrôle Recours juridictionnels effectifs y compris contre les décisions de l’autorité ; Responsabilité civile élargie du responsable et du sous-traitant : sauf prouve que « le fait qui a provoqué le dommage ne lui est nullement imputable ». Mécanisme favorable à la solidarité ; Approche favorable aux représentations par des organismes spécialisés ; Collaboration au niveau de l’UE; Amendes administratives pouvant atteindre, pour certaines infractions, un montant de 20 millions EUR, voire pour une entreprise, de 4% du CA Les sanctions

www.gdpr-expert.eu Pour chaque article du Règlement : le texte du Règlement ; le texte correspondant de (l'ancienne) Directive ; le texte correspondant de la loi française ; le texte correspondant de la loi belge ; le(s) considérant(s) pertinents du règlement ; les versions intermédiaires du règlement. En outre, pour chaque article, trois analyses : D’où vient-on ? ; Où va-t-on ? ; Problèmes probables ? 28 juin 2017 Etienne Wéry Avocat, cabinet Ulys etienne.wery@ulys.net