Le Règlement Général sur la Protection des Données personnelles (RGPD)

Slides:



Advertisements
Présentations similaires
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
Advertisements

JRES FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT.
L’impact du RGPD sur l’organisation et l’activité des entreprises
Un suivi administratif organisé
Arnaud David Juriste Senior - Microsoft
Bac pro gestion-administration Choisir de se former …
La règlementation en matière de transfert de données
La pénibilité au travail : Au moins 3 grands enjeux
Collège des économistes de la santé
loyauté respect solidarité appartenance responsabilité exemplarité
Sites Internet et Protection des données à caractère personnel
Etablissement : Nbre de classes de 3ème : Département:
ÉDUCATION FINANCIÈRE MARDI 12 septembre 2017
Développez votre connaissance client
Vers une nouvelle gouvernance de la donnée personnelle
Responsabilité professionnelle et numérique La protection des mineurs.
Evolutions réglementaires en cours
La Sécurité au CERN Etre TSO au CERN Etre TSO au CERN
2.5 Loi informatique et libertés
Le notaire et le droit des données personnelles
(DÉCLARATION SUR LES EMN)
PRIVACY.
Le Règlement européen sur la protection des données personnelles
Responsable des stages : Michelle CALMEJANE
Marguerite OUEDRAOGO BONANE
Le GDPR, ses contraintes et ses opportunités …
Responsable des stages : Michelle CALMEJANE
Le système d’information dans l’organisation
COOPERATION Regard européen L. Ghekiere – AND
données personnelles La protection des
Présentation au COTER Jeudi 7 décembre 2017
Le projet de loi relative au commerce électronique:
MARQUAGE CE.
LA RGPD 2018 Mise en conformité de votre OF
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
CONSEILS DEPARTEMENTAUX
Règlement général sur la protection des données
Règlement général sur la protection des données
Directrice de la Conformité
PROTECTION ET MANAGEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Confidentiel – Reproduction interdite
Le règlement europeen sur la protection des données personnelles
Le GDPR en 20 minutes - Quelques questions choisies
Le Règlement européen général sur la protection des données (RGPD)
Présentation de suderiane
Règlement général sur la protection des données
Législation.
Intervenant : Patrick DUGUÉ Consultant - Formateur
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
LE RGPD Règlement européen sur la protection des données
Le nouveau règlement sur la vie privée
Internet : Informations personnelles et identité numérique
Référentiel RGPD du LabRC
Outil d’assistance à la mise en conformité de votre entreprise au RGPD.
Registre des activités de traitement
Module 1 : principes généraux I&L
Retour d’expérience Alpes Développement
Chap. 7 - Évaluer le risque client
Service de consultation en ligne
Module 5 : relations avec la Cnil
1. Teaser RGPD VO_Narrateur :
La protection des données personnelles
Charte d’utilisation des données agricoles
4. Système d’information fournisseurs (SIF)
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information.
Télémédecine et protection des données personnelles
Le RGPD et le traducteur SFT 27/04/2019
CR-GR-HSE-412 Gestion des parties prenantes et impacts locaux
Transcription de la présentation:

Le Règlement Général sur la Protection des Données personnelles (RGPD) MEDEF – Direction Droit de l’Entreprise – Février 2018

Règlement général sur la protection des données personnelles (RGPD) QUOI ? adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’UE directement applicable en France (sans loi de transposition) le 25 mai 2018 Il remplacera la directive de 1995 (n°95/46/CE) et prévaudra sur la loi française (y compris la loi de 1978 dite Loi Informatique et Libertés) Objectifs : harmoniser le droit européen et renforcer la maîtrise des individus sur leurs données dans un contexte de plus en plus numérique QUI ? Il concerne tous les organismes (grandes entreprises, PME, TPE, associations…). COMMENT ? Il renforce les obligations des entreprises, tout en les incitant à jouer un rôle actif dans le contrôle de la conformité de leurs traitements (= Accountability). Nouvelles sanctions / risques : amende jusqu’à 20 millions € ou 4% du chiffre d’affaire annuel mondial Risque image / réputationnel MEDEF – Direction Droit de l’Entreprise – Février 2018

MEDEF – Direction Droit de l’Entreprise – Février 2018 Quand le RGPD s’applique-t-il ? NON 1. Des données personnelles sont-elles traitées ? PHOTO Donnée personnelle : toute information permettant d’identifier directement ou indirectement une personne physique. IDENTIFIANT PROFESSIONNEL N° SECURITE SOCIALE NOM ADRESSE ELECTRONIQUE DONNEES DE LOCALISATION DONNEES DE CONNEXION Traitement : toute opération sur des données personnelles (collecte, stockage, conservation, utilisation…). DONNEES DE CONSOMMATION Le RGPD ne s’applique pas OUI RH 2. Quand appliquer le règlement ? Le RGPD s’applique Le traitement a lieu sur le territoire de l’UE, ou Le responsable du traitement ou le sous-traitant sont établis sur le territoire de l’UE, ou Les personnes concernées par le traitement sont des ressortissants européens. MEDEF – Direction Droit de l’Entreprise – Février 2018

Les principes de la protection des données personnelles (1/2) Licéité (Fondement du traitement) Loyauté et transparence du traitement Limitation des finalités du traitement Consentement de la personne Exécution d’un contrat Exécution d’une obligation légale Exécution d’une mission d’intérêt public Poursuite de l’intérêt légitime de l’entreprise Sauvegarde des intérêts vitaux de la personne concernée Informer les personnes concernées que leurs données sont collectées Les informer des finalités pour lesquelles les données sont utilisées Ne pas tromper les personnes sur la destination et la vraie finalité des données Les données doivent être collectées pour des finalités déterminées, explicites et légitimes Les données ne peuvent pas être utilisées d’une manière incompatible avec les finalités Exemples : contrôle d’accès ou vidéosurveillance 4 MEDEF – Direction Droit de l’Entreprise – Février 2018

Les principes de la protection des données personnelles (2/2) Minimisation des données Exactitude des données Limitation de la conservation des données Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement Exemples : Coordonnées pour la livraison d’un bien acheté sur un site internet > Pas besoin du lieu de naissance ou du numéro de sécurité sociale Les données utilisées doivent être exactes et tenues à jour Les données inexactes doivent être effacées ou rectifiées rapidement Exemples : fichiers client pour la prospection ou pour les gestion clientèle Les données doivent être conservées pendant une durée limitée strictement nécessaire au traitement Les données ne peuvent être conservées longtemps qu’à des fins de recherche scientifique, historique ou statistique Attention aux durées légales minimales ou maximales 5 MEDEF – Direction Droit de l’Entreprise – Février 2018

MEDEF – Direction Droit de l’Entreprise – Février 2018 Ce qui va changer pour les entreprises Nouvelle approche pour la conformité : Accountability Les formalités de déclaration à la CNIL sont supprimées L’entreprise doit mettre en place : une politique interne en matière de protection des données personnelles, des mesures de traçabilité pour prouver la conformité des traitements, des mesures appropriées pour assurer, dès sa conception, la conformité d’un traitement (Privacy by design) et des paramètres par défaut protecteurs des données personnelles (Privacy by default). L’entreprise doit assurer un niveau de sécurité approprié pour les traitements et données L’entreprise doit effectuer des analyses d’impact avant la mise en place d’un traitement (si l’analyse révèle un risque élevé pour les données personnelles, l’entreprise devra consulter la CNIL). L’entreprise doit notifier les failles de sécurité (intentionnelles ou accidentelles) touchant aux données personnelles à la CNIL (dans un délai de 72h de la découverte de la faille) et avertir les personnes concernées dans certaines conditions. L’entreprise (y compris le sous-traitant) de plus de 250 salariés doit tenir à jour un registre de ses traitements (identité et coordonnées du responsable du traitement, coordonnées du DPO, finalités du traitement, données collectées, destinataires des données, durée de conservation…). L’entreprise doit vérifier que le traitement est légitime (qu’il repose sur une obligation légale, un contrat ou le consentement) et que les données collectées sont strictement nécessaires au traitement. Interne Sécurité Transparence 6 MEDEF – Direction Droit de l’Entreprise – Février 2018

MEDEF – Direction Droit de l’Entreprise – Février 2018 Désignation d’un Data Protection Officer (DPO) Les entreprises doivent obligatoirement désigner un DPO si leurs activités de base consistent : en un suivi régulier à grande échelle de données personnelles ; ou en un traitement à grande échelle de certaines données (origine raciale ou ethnique, opinions politiques, syndicales ou religieuses, données génétiques et biométriques, données de santé). Choix des sous-traitants L’entreprise doit choisir un sous-traitant (partenaire ou prestataire) qui assure des garanties de protection suffisantes dans le traitement des données personnelles. La relation entre l’entreprise et son sous-traitant doit être obligatoirement régie par un contrat. Le sous-traitant doit, sous peine d’engager sa responsabilité à l’égard du responsable de traitement : traiter les données personnelles selon les seules instructions du responsable de traitement permettre au responsable du traitement d’effectuer des contrôles de conformité prendre les mesures de sécurité appropriées ne pas lui-même sous-traiter sans le consentement préalable écrit du responsable du traitement avertir le responsable du traitement le plus tôt possible de toute violation de données. Un même DPO peut être désigné pour plusieurs entreprises. Il peut être salarié ou externe à l’entreprise (avocat, consultant…), mais il doit exercer ses fonctions en toute indépendance. Le DPO doit avoir : une expertise sur la règlementation et les pratiques en matière de données personnelles, une compréhension du secteur d’activité, des technologies et de la sécurité des données. Il a pour mission d’informer et de conseiller l’entreprise et de veiller à la conformité de la réglementation en matière de données personnelles, mais il n’est pas responsable. 7 MEDEF – Direction Droit de l’Entreprise – Février 2018

MEDEF – Direction Droit de l’Entreprise – Février 2018 Quels sont les droits des personnes concernées par un traitement ? La personne concernée a le droit de : Être informée de l’existence d’un traitement de données personnelles au moment de la collecte de leurs données par le responsable du traitement. Accéder à ses données : la personne a le droit d’obtenir la confirmation du traitement de ses données et de recevoir copie de toutes les informations la concernant. Faire rectifier ses données : la personne a le droit de demander la rectification de ses données. Demander la portabilité de ses données : la personne a le droit de récupérer les données personnelles la concernant qu’elle a elle-même fournies au responsable du traitement, dans un format ouvert et lisible, ou de demander qu’elles soient transmises directement ces données à une autre entreprise. S’opposer au traitement de ses données, y compris la prospection commerciale, à tout moment. Faire supprimer ses données (droit à l’oubli) : la personne a le droit d’obtenir la suppression de ses données personnelles. Le RGPD ne s’applique pas aux données des personnes décédées. L’entreprise doit permettre aux personnes d’exercer gratuitement l’ensemble de ces droits et elle doit répondre dans un délai d’un mois maximum. La personne peut introduire une réclamation directement auprès de l’entreprise, mais elle peut également déposer une plainte auprès de la CNIL ou des tribunaux (civils et pénaux). 8 MEDEF – Direction Droit de l’Entreprise – Février 2018

MEDEF – Direction Droit de l’Entreprise – Février 2018 Eléments encore manquants aujourd’hui : Révision de la loi Informatique et Libertés de 1978 Certaines lignes directrices du G29 (Groupe des 28 CNIL européennes) Actions du MEDEF : Outils d’accompagnement à destination des entreprises : Outil d’auto-évaluation (DIAG RGPD) => Disponible : http://rgpd.medef.com Développement d’un MOOC (Mon Campus Numérique) => Fin février / Début mars Elaboration d’un guide pratique => Premières fiches disponibles sur le site internet du MEDEF Sensibilisation : colloque sur le RGPD le jeudi 5 avril 2018 à 16h. 9 MEDEF – Direction Droit de l’Entreprise – Février 2018