Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Digital Analytics Forum
RGPD 2018 : êtes-vous prêt ?
1
Clémence SCOTTEZ
Chef du service des Affaires Economiques
Quels enjeux ?
• Individu pris dans un
maillage extrêmement
fin d’informations
personnelles relayées par
des objets de plu...
Contexte
3
➢ L’univers numérique est construit sur les données personnelles,
c’est-à-dire sur les données relatives aux in...
Article 1er de la loi « Informatique et Libertés »
➢ Objectif : défense de la vie privée, de l’identité humaine, des droit...
520181109-DAF - AT Internet
6
Qu’est ce qui est concerné ?
Exemples de ré-identification
7
➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L :
« Bon anniversaire M...
Les 4 grands axes du RGPD
8
Affirmation de la maîtrise des personnes sur leurs
propres données
Responsabilisation des orga...
Axe 1 : La maîtrise des personnes
sur leurs données personnelles
9 20181109-DAF - AT INTERNET
Renforcement global des droits (aperçu)
10
Le renforcement des droits existants
Les nouveaux droits
• obligation générale ...
Rappel : les consentements
20181109-DAF - AT INTERNET
Lesdonnéespersonnelles
• Licéité du
traitement
(art. 6 GDPR)
• Accor...
Axe 2 : Responsabilisation des professionnels
12
L e s o u s - t r a i t a n t
• obligations propres en matière de sécurit...
L’accountability à l’heure du Règlement
13
➢ Aujourd’hui => formalités préalables pour tout traitement => charge
administr...
Axe 3 : Des sanctions renforcées
14
« Les sanctions sont effectives, proportionnées et dissuasives »
Limiter
temporairemen...
Des voies de recours déclinées
15
Droit à un
recours
juridictionnel
contre un RT
- ST
Droit à un
recours
juridictionnel
co...
Axe 4 : vers un marché commun unifié
Le mécanisme de coopération
renforcée pour les traitements
transnationaux, ou « one-s...
17
Le règlement s’applique dès lors qu’un de ces deux critères est présent :
- le responsable de traitement ou le sous-tra...
18
Merci de votre attention !
➢ Pour plus d’information : RV sur www.cnil.fr
Upcoming SlideShare
Loading in …5
×

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

1,339 views

Published on

Présentation de Clémence Scottez, Responsable des affaires économiques à la CNIL lors du Digital Analytics Forum by AT Internet le 9 novembre 2017.

Le respect de la vie privée des internautes est incontestablement le sujet du moment ! Mais difficile d’y voir toujours très clair dans les nouvelles obligations du Règlement Général sur la Protection des Données (RGPD) et ses implications pour les solutions SaaS d’analytics.

Published in: Data & Analytics
  • Be the first to comment

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

  1. 1. Digital Analytics Forum RGPD 2018 : êtes-vous prêt ? 1 Clémence SCOTTEZ Chef du service des Affaires Economiques
  2. 2. Quels enjeux ? • Individu pris dans un maillage extrêmement fin d’informations personnelles relayées par des objets de plus en plus communicants • implique une pondération des intérêts => a priori par des débats de société et a postériori par le législateur et les juges 220181109-DAF - AT Internet
  3. 3. Contexte 3 ➢ L’univers numérique est construit sur les données personnelles, c’est-à-dire sur les données relatives aux individus ➢ Mais => défiance croissante des individus ➢ En quelque temps, la promesse de libération de l’individu et « d’empowerment » de celui-ci par le numérique a donc fait place à un sentiment d’impuissance et de défiance Enjeu : remettre l’individu au cœur d’un univers numérique dans lequel il a tendance à être marginalisé 20181109-DAF - AT INTERNET
  4. 4. Article 1er de la loi « Informatique et Libertés » ➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de l’homme et des libertés individuelles et publiques face à l’avènement de l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation, datamining, multiplication des décisions automatiques ou semi- automatiques…) 420181109-DAF - AT Internet
  5. 5. 520181109-DAF - AT Internet
  6. 6. 6 Qu’est ce qui est concerné ?
  7. 7. Exemples de ré-identification 7 ➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L : « Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien » ➢ Massachusetts : croisement d'une base de données médicale « pseudonymisée » et une liste électorale avec des données nominatives. ➢ Etude réalisée par des chercheurs du MIT : une base de données d’horodatage des antennes-relais (GSM) considérée a priori comme anonyme permet d’identifier près de 90 % des personnes 20181109-DAF - AT INTERNET
  8. 8. Les 4 grands axes du RGPD 8 Affirmation de la maîtrise des personnes sur leurs propres données Responsabilisation des organismes (du privé comme du public) Renforcement des pouvoirs de sanction Vers un marché commun unifié 20181109-DAF - AT INTERNET
  9. 9. Axe 1 : La maîtrise des personnes sur leurs données personnelles 9 20181109-DAF - AT INTERNET
  10. 10. Renforcement global des droits (aperçu) 10 Le renforcement des droits existants Les nouveaux droits • obligation générale de faciliter l’exercice des droits (fourniture d’une information claire, intelligible et aisément accessible) • information renforcée (ex. transferts hors de l’UE, source des données, durée de conservation) • droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une « CNIL ») • droit à l’effacement et à l’oubli numérique confirmé • la portabilité des données • la limitation du traitement • conditions particulières pour le traitement des données des enfants 20181109-DAF - AT INTERNET
  11. 11. Rappel : les consentements 20181109-DAF - AT INTERNET Lesdonnéespersonnelles • Licéité du traitement (art. 6 GDPR) • Accord parental pour les mineurs (art. 8 GDPR) • Données sensibles (art. 9 GDPR) Lestraceurs •Consentement au dépôt ou à la lecture d’informations sur le terminal ou consentement « cookies » (art. 32.II de la LIL et directive ePrivacy) Laprospectionparvoie électronique • Consentement à la prospection par voie électronique (email, fax, SMS) – (Article L.34-5 du code des postes et des communication s électroniques et directive ePrivacy) 11
  12. 12. Axe 2 : Responsabilisation des professionnels 12 L e s o u s - t r a i t a n t • obligations propres en matière de sécurité, de confidentialité et en matière d’accountability • autorisation du RT pour recruter un ST • tenue d’un registre • obligation de conseil auprès du RT • désignation d’un DPO L e r e p r é s e n t a n t l é g a l • point de contact de l’autorité • tenue d’un registre • mandat pour « être consulté en complément ou à la place du RT sur toutes les questions relatives aux traitements » (DPA, personnes, etc.) Re s p o n s a b i l i t é c o n j o i n t e pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de traitement conjoints » 20181109-DAF - AT INTERNET
  13. 13. L’accountability à l’heure du Règlement 13 ➢ Aujourd’hui => formalités préalables pour tout traitement => charge administrative et financière, peu efficace pour la protection des libertés ; ➢ Remplacées par des procédures et des mécanismes de responsabilisation ✓ l’application des principes de privacy by design et privacy by default ✓ la conduite d’analyses d’impact, ou « DPIA » ; ✓ la tenue d’un registre des traitements mis en œuvre ; ✓ la notification de failles de sécurité ; ✓ la consultation de la CNIL - DPIA ✓ la certification de traitements ✓ et l’adhésion à des codes de conduites. 20181109-DAF - AT INTERNET
  14. 14. Axe 3 : Des sanctions renforcées 14 « Les sanctions sont effectives, proportionnées et dissuasives » Limiter temporairement ou définitivement un traitement Suspension des flux de données hors UE Amendes administratives - 10 000 000€ / < 2 % du chiffre d’affaires mondial (CAM) - 20 000 000€ / < 4% CAM Mise en demeure de se mettre en conformité 20181109-DAF - AT INTERNET
  15. 15. Des voies de recours déclinées 15 Droit à un recours juridictionnel contre un RT - ST Droit à un recours juridictionnel contre une DPA Droit à un recours collectif Une personne peut mandater un tiers pour introduire une réclamation en son nom Droit à réparation pour les usagers Réparation en cas de dommage matériel ou immatériel 20181109-DAF - AT INTERNET
  16. 16. Axe 4 : vers un marché commun unifié Le mécanisme de coopération renforcée pour les traitements transnationaux, ou « one-stop-shop » La DPA chef de file est celle dont le RT – ST a son établissement principal établi sur le territoire national La DPA chef de file rédige des projets de mesures et les propose à toutes les DPA compétentes Lorsqu’il n’y a pas d’objections sur les projets proposés, alors les mesures sont réputées adoptées S’il y a des objections et que les DPA ne parviennent pas à se mettre d’accord, alors l’organe européen, l’EDPB, est saisi 16 20181109-DAF - AT INTERNET
  17. 17. 17 Le règlement s’applique dès lors qu’un de ces deux critères est présent : - le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne OU - le responsable de traitement ou le sous-traitant n’est pas établi sur le territoire de l’UE, mais met en œuvre des traitement visant à fournir des biens et des services aux résidents européens ou à les surveiller (monitor) Un champ d’application territorial étendu 20181109-DAF - AT INTERNET
  18. 18. 18 Merci de votre attention ! ➢ Pour plus d’information : RV sur www.cnil.fr

×