Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Confidentiel – Reproduction interdite
ECLAIRAGE SUR LA NOUVELLE REGLEMENTATION RGPD Business sans tabou - Mardi 13 mars Par Nina Gosse, avocat chez de Gaulle Fleurance & Associés Confidentiel – Reproduction interdite
2
Pourquoi s’intéresser à ce sujet ?
Ce nouveau règlement européen prévoit des sanctions lourdes mais pas que…. Sanctions financières peuvent aller jusqu’au plus élevé de 2 ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent – pour une entreprise – ou dans tous les cas, 10 ou 20 millions d’euros (selon la nature de l’obligation violée) Autres risques : suspension ou arrêt du traitement, suppression des fichiers, publicité par la CNIL, action de groupe,... (ne pas oublier les risques réputationnels ! ) Au-delà des sanctions, des opportunités de création de valeur (meilleure connaissance et exploitation de son patrimoine informationnel)
3
Pourquoi s’intéresser à ce sujet ?
D’où peut provenir le risque… des contrôles mais aussi de la délation suite à des actions de : Vos concurrents Vos salariés / syndicats / … Vos clients Vos prestataires / fournisseurs D’organisations de consommateurs / de fédération ….
4
CONTEXTE – De quoi s’agit il ? …
Le Règlement n°2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR), vise à protéger les données personnelles des personnes physiques traitées par les organisations dès lors qu’elles sont établies dans l’UE ou qu’elles visent des résidents européens (offres de biens/services ou suivi du comportement de ces personnes). Après une période transitoire de 2 ans, ses dispositions seront directement applicables dans l'ensemble des 28 États membres à compter du 25 mai 2018. Nécessité pour les entreprises d’adopter un plan de mise en conformité en vue de cette échéance.
5
Le périmètre / le champ d’intervention
Champs d’application matériel et territorial large Application directe du RGPD dans les Etats Membres (EM) de l’UE La mise en œuvre du RGPD concerne toutes les entreprises qui collectent, utilisent ou stockent des données à caractère personnel (DCP) de manière automatisée ou sous forme de fichiers (salariés, clients, prospects, fournisseurs, partenaires,…) en format informatique et/ou papier. Le RGPD concerne les activités de traitement réalisées dans le cadre des activités d’un responsable de traitement (RT) et/ou ou des sous-traitants (ST) établis dans l’UE et hors UE lorsque : Il s’agit d’un traitement de DCP relatives à des personnes se trouvant sur le territoire de l’UE dans le cadre d’activités liées à une offre de biens ou de services adressée à ces personnes OU si les traitements concernent le suivi du comportement de ces personnes au sein de l’UE Le traitement de DCP par un RT établi hors UE, a lieu dans un endroit où le droit d'un Etat Membre s'applique en vertu du droit international public 08/01/2018 Confidentiel – Reproduction interdite
6
Le RGPD : la vue macroscopique
Qu’est ce qu’un « traitement de données personnelles » soumis au RGPD ? (articles 2, 4 & 9) Donnée à caractère personnel (DCP) : information se rapportant à une personne physique qui peut être identifiée directement ou indirectement notamment par référence à un identifiant. (numéro, données de localisation, identifiant en ligne ..) ou à des éléments spécifiques à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale Traitement : opération réalisée avec des procédés automatisés ou non appliquée à des DCP : collecte, enregistrement, organisation, structuration etc… Donnée « sensible » : DCP qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques et l’appartenance syndicale, les données génétiques, données biométriques aux fins d’identifier une personne physique de manière, données de santé ou vie sexuelle ou orientation sexuelle
7
Le RGPD : En faire une valeur ajoutée pour l’entreprise
Réaffirmation / renforcement de droits existants : consentement, information, accès, etc. Création de nouveaux droits : portabilité, oubli, recours collectifs, etc. Organisation interne à repenser : pour la plupart des entreprises, registre des traitements, nomination d’un Data Protection Officer (DPO), notification des failles, sensibilisation/formation/responsabilisation des salariés, politique de conservation de DCP, ... Anticipation des risques et protection des DCP dès la conception des projets et des technologies et par défaut (privacy by design et privacy by default) Mesures techniques à adopter y compris en matière de sécurité (normes, codes de conduite,...) Sanctions financières peuvent aller jusqu’au plus élevé de 2 ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent – pour une entreprise – ou dans tous les cas, 10 ou 20 millions d’euros (selon la nature de l’obligation violée) Autres sanctions possibles : suspension ou arrêt du traitement, suppression des fichiers, publication par la CNIL,... (ne pas oublier les risques réputationnels!) Une nouvelle autorité européenne de contrôle sera mise en place tandis que les autorités nationales verront leurs pouvoirs renforcés Renforcement des droits des personnes concernées Auto-évaluation (accountability) / mesures de prévention des risques pas de formalité préalable (sauf exception(s) de droit subsidiaire national d’un Etat membre) Une obligation aussi car des sanctions en cas de violation Confidentiel – Reproduction interdite
8
Faire évoluer les pratiques (conduite du changement)
Le RGPD, comment faire ? Cartographier les traitements de données personnelles Impliquer l’ensemble des parties prenantes (juridique, DSI,…) et organiser la gouvernance du projet Définir un plan d’action et une stratégie de mise en œuvre Faire évoluer les pratiques (conduite du changement) 8 Confidentiel – Reproduction interdite
9
Confidentiel – Reproduction interdite
Le RGPD, comment faire ? Des facteurs de complexité pour les entreprises : Coûts de mise en œuvre Absence de recul sur les nouvelles dispositions…et celles à venir… Imbroglio législatif et réglementaire Trouver le bon DPO / prestataire externe Outillage pour être dans les règles Les fondamentaux juridiques sont néanmoins relativement simples à mettre en œuvre pour éviter les sanctions les plus graves…. 9 Confidentiel – Reproduction interdite
10
Marie-Mathilde Deldicque: mmdeldicque@dgfla.com
Merci pour votre attention! Nina Gosse Tel direct : Mob : Autres avocats ayant participé à la rédaction de ce document et agissant sur le RGDP: Cécile Théard-Jallu: Blandine Fauran : Georgie Courtois : Marie-Mathilde Deldicque: De Gaulle Fleurance & Associés 9 rue Boissy d’Anglas – Paris – France – Tél.: +33 (0) – Fax.: +33 (0) 222 avenue Louise – 1050 Bruxelles – Belgique – Tél.: +32 (0) – Fax.: +32 (0) #BusinessLawTogether
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.