Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parSylvain Lacroix Modifié depuis plus de 7 années
1
L’impact du RGPD sur l’organisation et l’activité des entreprises
Besançon – 3 mai 2017 Christophe Héry Avocat au Barreau de Paris 02/05/2017
2
Introduction Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données – RGPD). Abroge la Directive 95/46/CE et crée une règle uniforme partout dans l’Union Européenne. Approche nouvelle impliquant une plus grande responsabilité du responsable des traitements de données et prévoyant des sanctions plus lourdes. Texte complexe et technique : près de 100 pages, 173 considérants et 99 articles. Va entraîner une modification profonde des pratiques, de la documentation et de l’organisation des entreprises qui devront intégrer plus en amont et plus en profondeur la protection des données.
3
Plan Domaine d’application Principes fondamentaux
Droits des personnes concernées Obligations du responsable du traitement Responsabilité et sanctions Conséquences pratiques sur l’activité commerciale Rôle du juriste dans le plan d’action
4
Domaine d’application (1/2)
Application temporelle Entrée en vigueur le 25 mai 2018 et directement applicable en France, Mise en conformité de la loi Informatique et Libertés d’ici cette date ? Application territoriale Entreprises établies dans l’Union Européenne (quel que soit le lieu de traitement des données) Entreprises établies hors de l’Union Européenne... : ... qui offrent des biens ou services à des personnes concernées dans l’UE (sites web dédiés ?), ou ... qui suivent le comportement de personnes établies dans l’UE.
5
Domaine d’application (2/2)
Application matérielle Nouvelle définition des données à caractère personnel (« DCP ») toute information permettant d’identifier, directement ou indirectement, une personne physique notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un élément propre à son identité physiologique, génétique, psychique, économique, culturelle ou sociale ; Données sensibles : race, opinion politique, religion, données génétiques et biométriques, santé, etc.. Traitement interdit sauf conditions particulières ; Nouveau concept de la pseudonymisation : pas d’identification directe sans informations supplémentaires ; constitue une donnée personnelle mais usage encouragé car règles plus souples. Les adresses IP et cookies sont expressément visés dorénavant : les objets connectés sont directement concernés par ces données sensibles, la pseudonymisation devrait devenir la priorité.
6
Les principes fondamentaux
Un traitement licite, loyal et transparent des DCP Une collecte de DCP pour des finalités déterminées, explicites et légitimes Des DCP adéquates, limitées, exactes et tenues à ce jour Une conservation limitée dans le temps Une sécurité appropriée contre le traitement non-autorisé, la perte ou la destruction Un principe de responsabilité du responsable du traitement, du respect des principes ci-dessus (« accountability »). En application de ces principes, les entreprises devront modifier leur notice de confidentialité, auditer la nature et la qualité des informations pertinentes ou pas, mettre en place des processus d’accès et de suppression de données efficaces, mettre en place des procédures et techniques assurant l’intégrité des données et leur sécurité informatique, réfléchir au principe de protection des données dès le stade de la conception de nouveaux outils industriels, commerciaux ou marketing.
7
Droits des personnes concernées (1/3)
Encadrement plus strict de la validité du consentement : doit être donné librement, doit être spécifique, doit être éclairé, doit faire l’objet d’une action positive et non ambigüe, doit être enregistré et prouvé, doit faire l’objet d’un engagement distinct et peut être retiré aussi librement qu’il a été donné. Le texte de consentement ne pourra pas être noyé dans d’autres clauses et devra être distinct des autres clauses. L’accord pré-rempli est interdit. L’accord donné devra être conservé en archives par l’entreprise. L’accord ne pourra pas être donné de façon globale. La conclusion d’un contrat ne pourra pas être conditionnée à l’usage de données non pertinentes ou non nécessaires.
8
Droits des personnes concernées (2/3)
Droit d’accès Droit de rectification Droit à l’effacement Il doit être effacé par le responsable du traitement ou par d’autres responsables du traitement, tiers, qui auraient utilisé ces données devenues publiques (mesures techniques raisonnables), L’effacement peut être demandé notamment lorsque la donnée n’est plus nécessaire ou lorsque la personne concernée a retiré son consentement ou s’oppose au traitement. Droit à la limitation du traitement Droit à la portabilité des données Droit de s’opposer au traitement Obligation de l’entreprise de ne plus traiter les données concernées, y compris pour un profilage, Possibilité de s’opposer au traitement de données à des fins de prospection. Le droit de s’opposer au traitement doit être explicitement porté à l’attention de la personne concernée au plus tard au moment de la première communication et doit être présenté séparément des autres informations, ce qui va avoir un impact sur la présentation des notices de confidentialité et de leur usage technique.
9
Droits des personnes concernées (3/3)
Droit à une information devant être communiquée à la personne concernée En application du principe de transparence, le responsable du traitement devra communiquer à chaque personne concernée une information précise qui devra être accessible aisément et exprimée dans un langage clair. Le RGPD impose de communiquer plus d’une douzaine d’informations clairement listées relatives notamment à l’identité du responsable du traitement, l’objet de ce traitement, le transfert éventuel hors de l’UE, etc. Ces nouvelles obligations obligent les responsables de traitement à revoir leur notice de confidentialité de manière à ce qu’elle soit exactement conforme aux prescriptions du RGPD en matière d’informations devant être communiquées aux personnes concernées.
10
Obligations du responsable du traitement (1/5)
« Privacy by design » et « privacy by default » Il s’agit-là de deux nouveaux principes majeurs du RGPD. Le but est d’obliger les responsables de traitement à intégrer dans tout processus de conception de prestation de services (sites web) ou de produits (objets connectés) la protection des données personnelles, en conformité avec le RGPD. « Privacy by design » : le responsable du traitement devra donc dès la détermination des moyens de traitement mettre en œuvre des mesures techniques et organisationnelles appropriées (par exemple pseudonymisation) destinées à respecter les principes du RGPD. « Privacy by default » : le responsable du traitement doit prendre les mesures techniques (informatiques) et organisationnelles (formation et contrôle) appropriées pour garantir que seules seront collectées et traitées, par défaut, les données personnelles nécessaires au regard de la finalité du traitement. Le RGPD encourage des mécanismes de certification visant à contrôler leur respect.
11
Obligations du responsable du traitement (2/5)
Analyse d’impact relative à la protection des données (« PIA ») Une analyse d’impact devra être réalisée, avant la mise en place d’un traitement de données, lorsque le type de traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et liberté des personnes. La notion de « risque élevé » n’est pas définie par le RGPD. Le « PIA » devra intégrer une analyse détaillée des opérations de traitement, une analyse de l’adéquation entre l’objet du traitement et le type de données collectées ainsi qu’une évaluation des risques d’atteinte aux droits et liberté des personnes concernées et enfin les mesures techniques de sécurité visant à assurer la protection des données. Toutes les sociétés sont concernées dès lors qu’il y a un « risque élevé » d’atteinte au droit des personnes.
12
Obligations du responsable du traitement (3/5)
Délégué à la protection des données (« DPO ») Obligatoire lorsque « les activités de base du responsable du traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » (désignation conseillée dans les autres cas). Désigné sur la base de ses « qualités professionnelles » et de sa capacité à accomplir les missions minima du RGPD. Peut être un salarié ou un prestataire de services. Doit avoir les ressources nécessaires pour exercer ses missions et accéder à toutes les données et opérations de traitement. Il ne peut recevoir d’instructions en ce qui concerne l’exercice de sa mission ni être relevé de ses fonctions ou pénalisé pour l’exercice de celles-ci. Il doit rendre compte directement au niveau le plus élevé de la direction. Il peut exercer d’autres taches dans l’entreprise (sans conflit d’intérêts). Missions de base : informer et conseiller le responsable du traitement, contrôler le respect du RGPD par le responsable du traitement, participer à la sensibilisation et à la formation du personnel et coopérer avec la CNIL. L’obligation de désigner un DPO indépendant de la taille de la société.
13
Obligations du responsable du traitement (4/5)
Registre des activités de traitement L’obligation pèse sur le responsable du traitement mais également sur ses éventuels sous-traitants. Doit pouvoir être mis à disposition de la CNIL sur simple demande. Le registre devra mentionner : le nom et les coordonnées du responsable du traitement ainsi que ceux du DPO, les finalités du traitement, la description des catégories de personnes concernées, la catégorie des destinataires des données, les transferts de données vers un pays tiers, les délais prévus pour l’effacement des différentes catégories de données, une description générale des mesures de sécurité techniques et organisationnelles. Pour les sociétés de moins de 250 employés, l’obligation de tenir ce registre n’est pas applicable, sauf si le traitement de données : est susceptible de comporter un risque pour les droits et libertés des personnes concernées ou n’est pas occasionnel ou porte sur des catégories de données sensibles (par ex. race, religion, santé, sexe).
14
Obligations du responsable du traitement (5/5)
Notification des violations de données personnelles Nouvelle obligation pesant sur le responsable du traitement. C’est le pendant de l’obligation de sécurité. Notification du sous-traitant au responsable du traitement. Porte sur toute « violation » de données, sans distinction aucune, dans les meilleurs délais. Notification du responsable du traitement à l’autorité de contrôle : uniquement si la violation est susceptible d’engendrer un risque pour les droits et liberté des personnes physiques, dans les meilleurs délais et, si possible, 72 heures après en avoir pris connaissance, circonstanciée : nature de la violation, nombre approximatif de personnes concernées, conséquences probables, mesures prises pour remédier à la violation et en atténuer les conséquences. Notification du responsable du traitement à la personne concernée en des termes clairs et simples : obligatoire si violation est susceptible d’engendrer un risque élevé pour les droits et liberté, non obligatoire si des mesures de protection techniques et organisationnelles appropriées ont été prises ou si des mesures ultérieures ont été prises. Le RGPD impose au responsable du traitement qu’il documente toute violation de DCP (quelle que soit leur gravité) en indiquant les faits de violation, leurs effets et les mesures prises pour y remédier. Ce registre doit pouvoir être consulté par l’autorité de contrôle.
15
Responsabilité et sanctions
Le sous-traitant de DCP doit présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». Le responsable du traitement doit conclure un contrat avec le sous-traitant, conforme aux RGPD, Principe de réparation du dommage matériel et moral du fait d’une violation du RGPD, Principe de solidarité entre le responsable du traitement et le sous-traitant pour la totalité du dommage. Amendes administratives la sanction doit être effective, proportionnée et dissuasive (calculée selon onze critères), montant de la sanction maximum différent selon la gravité de la violation : entre € et 2 % du CA, entre € et 4 % du CA. Autres sanctions indirectes Les Codes de conduite et Certifications, les associations de consommateurs, les concurrents (concurrence déloyale ?).
16
Conséquences pratiques sur l’activité commerciale
Outils collectant les DCP (sites web/objets connectés) Révision de l’ensemble des informations communiquées et des modalités d’obtention de l’accord, Les contrats de conception devront obliger les prestataires à intégrer toutes les obligations du RGPD. Négociation et rédaction de contrats Avec les responsables conjoints de traitement et sous-traitants (dans l’UE et hors UE), conformément aux règles du RGPD, Clauses de conformité au RGPD, de répartition de responsabilité et d’indemnisation effective. Exportation de données hors de l’UE Identification des responsables de traitement/sous-traitants hors de l’UE (hors du groupe ou dans le groupe de sociétés), Identification du cadre juridique approprié en fonction du pays concerné (REC/CCT ?).
17
Rôle du juriste dans le plan d’action
Mise en place d’une équipe ad hoc Implication de la direction juridique Implication du CIL/futur DPO + directions générale/commerciale/ informatique. Audit et cartographie des pratiques en cours Focus sur le type d’informations et leur finalité, Collecte de tous les documents et identification des pratiques internes. Mise à jour de l’information interne et externe Adaptation de la politique de confidentialité/modalités d’obtention des consentements/information délivrée. Adaptation des règles de sécurité Renforcement de la sécurité informatique et mise en place de processus garantissant la sécurité des DCP. Adaptation de l’organisation interne Mise en œuvre du privacy by design/privacy by default (en amont), Implication des services marketing/commerciaux/informatique dans le PIA, Désignation et mise en place du DPO, Création du registre des traitements/registre des incidents.
18
Merci de votre attention
Christophe Héry commentaire aie non mais
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.