Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

1,515 views

Published on

Présentation de Clémence Scottez, Responsable des affaires économiques à la CNIL lors du Digital Analytics Forum by AT Internet le 9 novembre 2017.

Le respect de la vie privée des internautes est incontestablement le sujet du moment ! Mais difficile d’y voir toujours très clair dans les nouvelles obligations du Règlement Général sur la Protection des Données (RGPD) et ses implications pour les solutions SaaS d’analytics.

Published in: Data & Analytics
  • Be the first to comment

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

  1. 1. Digital Analytics Forum RGPD 2018 : êtes-vous prêt ? 1 Clémence SCOTTEZ Chef du service des Affaires Economiques
  2. 2. Quels enjeux ? • Individu pris dans un maillage extrêmement fin d’informations personnelles relayées par des objets de plus en plus communicants • implique une pondération des intérêts => a priori par des débats de société et a postériori par le législateur et les juges 220181109-DAF - AT Internet
  3. 3. Contexte 3 ➢ L’univers numérique est construit sur les données personnelles, c’est-à-dire sur les données relatives aux individus ➢ Mais => défiance croissante des individus ➢ En quelque temps, la promesse de libération de l’individu et « d’empowerment » de celui-ci par le numérique a donc fait place à un sentiment d’impuissance et de défiance Enjeu : remettre l’individu au cœur d’un univers numérique dans lequel il a tendance à être marginalisé 20181109-DAF - AT INTERNET
  4. 4. Article 1er de la loi « Informatique et Libertés » ➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de l’homme et des libertés individuelles et publiques face à l’avènement de l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation, datamining, multiplication des décisions automatiques ou semi- automatiques…) 420181109-DAF - AT Internet
  5. 5. 520181109-DAF - AT Internet
  6. 6. 6 Qu’est ce qui est concerné ?
  7. 7. Exemples de ré-identification 7 ➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L : « Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien » ➢ Massachusetts : croisement d'une base de données médicale « pseudonymisée » et une liste électorale avec des données nominatives. ➢ Etude réalisée par des chercheurs du MIT : une base de données d’horodatage des antennes-relais (GSM) considérée a priori comme anonyme permet d’identifier près de 90 % des personnes 20181109-DAF - AT INTERNET
  8. 8. Les 4 grands axes du RGPD 8 Affirmation de la maîtrise des personnes sur leurs propres données Responsabilisation des organismes (du privé comme du public) Renforcement des pouvoirs de sanction Vers un marché commun unifié 20181109-DAF - AT INTERNET
  9. 9. Axe 1 : La maîtrise des personnes sur leurs données personnelles 9 20181109-DAF - AT INTERNET
  10. 10. Renforcement global des droits (aperçu) 10 Le renforcement des droits existants Les nouveaux droits • obligation générale de faciliter l’exercice des droits (fourniture d’une information claire, intelligible et aisément accessible) • information renforcée (ex. transferts hors de l’UE, source des données, durée de conservation) • droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une « CNIL ») • droit à l’effacement et à l’oubli numérique confirmé • la portabilité des données • la limitation du traitement • conditions particulières pour le traitement des données des enfants 20181109-DAF - AT INTERNET
  11. 11. Rappel : les consentements 20181109-DAF - AT INTERNET Lesdonnéespersonnelles • Licéité du traitement (art. 6 GDPR) • Accord parental pour les mineurs (art. 8 GDPR) • Données sensibles (art. 9 GDPR) Lestraceurs •Consentement au dépôt ou à la lecture d’informations sur le terminal ou consentement « cookies » (art. 32.II de la LIL et directive ePrivacy) Laprospectionparvoie électronique • Consentement à la prospection par voie électronique (email, fax, SMS) – (Article L.34-5 du code des postes et des communication s électroniques et directive ePrivacy) 11
  12. 12. Axe 2 : Responsabilisation des professionnels 12 L e s o u s - t r a i t a n t • obligations propres en matière de sécurité, de confidentialité et en matière d’accountability • autorisation du RT pour recruter un ST • tenue d’un registre • obligation de conseil auprès du RT • désignation d’un DPO L e r e p r é s e n t a n t l é g a l • point de contact de l’autorité • tenue d’un registre • mandat pour « être consulté en complément ou à la place du RT sur toutes les questions relatives aux traitements » (DPA, personnes, etc.) Re s p o n s a b i l i t é c o n j o i n t e pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de traitement conjoints » 20181109-DAF - AT INTERNET
  13. 13. L’accountability à l’heure du Règlement 13 ➢ Aujourd’hui => formalités préalables pour tout traitement => charge administrative et financière, peu efficace pour la protection des libertés ; ➢ Remplacées par des procédures et des mécanismes de responsabilisation ✓ l’application des principes de privacy by design et privacy by default ✓ la conduite d’analyses d’impact, ou « DPIA » ; ✓ la tenue d’un registre des traitements mis en œuvre ; ✓ la notification de failles de sécurité ; ✓ la consultation de la CNIL - DPIA ✓ la certification de traitements ✓ et l’adhésion à des codes de conduites. 20181109-DAF - AT INTERNET
  14. 14. Axe 3 : Des sanctions renforcées 14 « Les sanctions sont effectives, proportionnées et dissuasives » Limiter temporairement ou définitivement un traitement Suspension des flux de données hors UE Amendes administratives - 10 000 000€ / < 2 % du chiffre d’affaires mondial (CAM) - 20 000 000€ / < 4% CAM Mise en demeure de se mettre en conformité 20181109-DAF - AT INTERNET
  15. 15. Des voies de recours déclinées 15 Droit à un recours juridictionnel contre un RT - ST Droit à un recours juridictionnel contre une DPA Droit à un recours collectif Une personne peut mandater un tiers pour introduire une réclamation en son nom Droit à réparation pour les usagers Réparation en cas de dommage matériel ou immatériel 20181109-DAF - AT INTERNET
  16. 16. Axe 4 : vers un marché commun unifié Le mécanisme de coopération renforcée pour les traitements transnationaux, ou « one-stop-shop » La DPA chef de file est celle dont le RT – ST a son établissement principal établi sur le territoire national La DPA chef de file rédige des projets de mesures et les propose à toutes les DPA compétentes Lorsqu’il n’y a pas d’objections sur les projets proposés, alors les mesures sont réputées adoptées S’il y a des objections et que les DPA ne parviennent pas à se mettre d’accord, alors l’organe européen, l’EDPB, est saisi 16 20181109-DAF - AT INTERNET
  17. 17. 17 Le règlement s’applique dès lors qu’un de ces deux critères est présent : - le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne OU - le responsable de traitement ou le sous-traitant n’est pas établi sur le territoire de l’UE, mais met en œuvre des traitement visant à fournir des biens et des services aux résidents européens ou à les surveiller (monitor) Un champ d’application territorial étendu 20181109-DAF - AT INTERNET
  18. 18. 18 Merci de votre attention ! ➢ Pour plus d’information : RV sur www.cnil.fr

×