La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le GDPR en 20 minutes - Quelques questions choisies

Présentations similaires


Présentation au sujet: "Le GDPR en 20 minutes - Quelques questions choisies"— Transcription de la présentation:

1 Le GDPR en 20 minutes - Quelques questions choisies
28 juin 2017 Etienne Wéry Avocat, cabinet Ulys

2 www.gdpr-expert.eu Pour chaque article du Règlement :
le texte du Règlement ; le texte correspondant de (l'ancienne) Directive ; le texte correspondant de la loi française ; le texte correspondant de la loi belge ; le(s) considérant(s) pertinents du règlement ; les versions intermédiaires du règlement. En outre, pour chaque article, trois analyses : D’où vient-on ? ; Où va-t-on ? ; Problèmes probables ?

3 Quelques nouveaux principes généraux
Les principes existants de loyauté et de licéité du traitement sont complétées par l’énoncé d’un principe général de transparence; Le principe de minimisation des données est consacré, selon lequel seules les données à caractère personnel qui apparaisse nécessaires à la réalisation de la finalité peuvent être traitées; Un devoir général de sécurité et de confidentialité du traitement; Une obligation de notification à l’autorité de contrôle, des violations de données (toutes, sauf celles qui ne paraisse pas faire courir de risques aux droits et libertés individuelles et personnes concernées) ; Une obligation de notification aux personnes concernées, des violations de données (seulement celles qui exposent celle-ci à un risque élevé par rapport à leurs droits et libertés). Durée de conservation des données.

4 Principe général de responsabilité qui se décline en deux volets
« Protection by design » Prendre des mesures et procédures techniques et organisationnelles appropriées dès la conception du traitement et tout au long de sa mise en œuvre, afin de le rendre conforme Principe général de responsabilité qui se décline en deux volets « Protection by default » Adopter des mesures consistant à limiter par défaut le traitement à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et leur période de conservation. Cela s’ajoute à la pertinence des données qui demeure.

5 Des adultes supposés être responsables
L’approche administrative antérieure est abandonnée. Est donc aussi abandonnée, la relative impunité qu’elle procurait parfois. L’article 35 prévoit que lorsqu’un traitement est susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés, notamment les traitement qui recourent aux nouvelles technologies, le responsable doit effectuer une analyse d’impact. Le responsable (ne) doit consulter l’autorité de contrôle (que) lorsque l’analyse d’impact révèle que le traitement présente un risque élevé en cas d’absence de mesures appropriées. Une approche qui connaissent déjà les gérants des « systèmes qualité » de type ISO ou Afnor. Je documente ce que je fais, je fais ce que j’écris, j’évalue et je modifie si nécessaire. Ce n’est en rien un cadeau : c’est un cadeau empoisonné.

6 Champ territorial élargi : un règlement anti US?
Le règlement s’applique au responsable et/ou sous-traitant dès lors que les activités de traitement sont liées : à l’offre de biens ou de services à des personnes physiques situées sur le territoire de l’Union, ou à l’observation des comportements humains, pour autant que ces comportements interviennent au sein de l’Union La localisation de l’établissement (critère existant) vise désormais tant celui du responsable du traitement que celui du sous-traitant. Champ territorial élargi : un règlement anti US?

7 Certains droits neufs et d’autres renforcés
Nouveau ! Droit à l’oubli numérique et l’effacement. Cela implique l’obligation de suite (la chaîne doit suivre tous les tiers à qui des données ont été antérieurement transmises). Nouveau ! Droit à la limitation du traitement dans plusieurs cas (notamment : exactitude d’une donnée, illicéité, vérification de la balance des intérêts). Nouveau ! Portabilité des données qui permet, dans plusieurs cas, de recevoir les données à caractère personnel fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle. Renforcé ! Droit d’opposition conditionné lorsque la licéité repose sur la balance des intérêts. Droit d’opposition général lorsque le traitement est effectué à des fins de prospection, y compris le profilage. Renforcé ! Traitement automatisé produisant des effets juridiques. Certains droits neufs et d’autres renforcés

8 Du CIL au DPO Un DPO doit être désigné dans les 3 hypothèses de l’article 37.1 : autorité publique ou organisme public (sauf les juridictions); activités de base = suivi régulier et systématique à grande échelle; activités de base = traitement à grande échelle de donnée sensibles. Un DPO peut être désigné volontairement Le DPO doit être une personne qualifiée : connaître la loi, connaître l’organisme et le secteur, être compétent techniquement. Le DPO est protégé : il doit jouir d’une indépendance (financière, organisationnelle), ne pas être placé en situation de conflit d’intérêts et ne pas être sanctionné pour l’accomplissement de sa mission. Missions diverses : il informe, conseille, surveille, contrôle, représente, avertit/agit, coopère, trie les infos.

9 Les sanctions Plaintes devant l’autorité de contrôle
Recours juridictionnels effectifs y compris contre les décisions de l’autorité ; Responsabilité civile élargie du responsable et du sous-traitant : sauf prouve que « le fait qui a provoqué le dommage ne lui est nullement imputable ». Mécanisme favorable à la solidarité ; Approche favorable aux représentations par des organismes spécialisés ; Collaboration au niveau de l’UE; Amendes administratives pouvant atteindre, pour certaines infractions, un montant de 20 millions EUR, voire pour une entreprise, de 4% du CA Les sanctions

10 www.gdpr-expert.eu Pour chaque article du Règlement :
le texte du Règlement ; le texte correspondant de (l'ancienne) Directive ; le texte correspondant de la loi française ; le texte correspondant de la loi belge ; le(s) considérant(s) pertinents du règlement ; les versions intermédiaires du règlement. En outre, pour chaque article, trois analyses : D’où vient-on ? ; Où va-t-on ? ; Problèmes probables ? 28 juin 2017 Etienne Wéry Avocat, cabinet Ulys


Télécharger ppt "Le GDPR en 20 minutes - Quelques questions choisies"

Présentations similaires


Annonces Google