Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)

1,800 views

Published on

Présentation de Ludivine Lille, avocate spécialisée dans la propriété intellectuelle et les nouvelles technologies lors du Digital Analytics Forum by AT Internet le 9 novembre 2017.

Le respect de la vie privée des internautes est incontestablement le sujet du moment ! Mais difficile d’y voir toujours très clair dans les nouvelles obligations du Règlement Général sur la Protection des Données (RGPD) et ses implications pour les solutions SaaS d’analytics.

Published in: Data & Analytics
  • Be the first to comment

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)

  1. 1. Protection des données personnelles : les nouveaux enjeux du règlement européen (GDPR) Ludivine Lille, EY Société d’Avocats
  2. 2. Réforme du cadre règlementaire : le GDPR  Objectif de la réforme : refonte de l’ensemble du cadre juridique européen issu de la Directive 95-46 du 24 octobre 1995  Application directe du GDPR dans tous les Etats membres de l’UE  Calendrier de mise en œuvre du GDPR © 2017 Propriété d'Ernst & Youg Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.  Extension du champ d’application Matériel Territorial ► Traitements de données à caractère personnel ► Personnes physiques ► Exclusion des activités personnelles ► Etablissement du Responsable de Traitement (RT) ou sous-traitant (ST) en UE ► RT ou ST non établi en UE 14 Avril 2016 Adoption du GDPR par les Etats membres 2017 Développement d’un plan d’action ? 25 Mai 2018 Entrée en vigueur du GDPR
  3. 3. Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. ► Personne physique ou morale, autorité publique, service ou autre organisme ► Seul ou conjointement avec d'autres ► Détermine les finalités et les moyens du traitement ► Personne physique ou morale, autorité publique, service ou autre organisme ► Traite des données à caractère personnel pour le compte du responsable du traitement Responsable de traitement Sous-traitant ► Responsable de l’ensemble des obligations mises à sa charge par le GDPR ► Responsable du dommage causé par le traitement ► Toute personne ayant subi un dommage a droit à réparation du fait d’une violation du GDPR ► Responsable du dommage causé par le traitement uniquement s’il n’a pas respecté ses obligations ou a agi en dehors des instructions du RT IDENTIFICATION DES PRINCIPAUX ACTEURS ► RÉPARTITION DES RESPONSABILITÉS
  4. 4. Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. ► Allègement des formalités préalables ► Suppression des déclarations ► Régime spécifique de demande d’autorisation maintenu pour certains transferts hors UE ► Régime de consultation préalable défini pour certains traitements ► Accountability ► Obligation de recenser les traitements RESPONSABILISATION DES ACTEURS
  5. 5. Registre du ST ► Coordonnées du ST , du RT, et le cas échéant, du représentant du RT et du DPO ► Catégories de traitements ► Transferts de données (le cas échéant) ► Mesures de sécurité Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. En Pratique… Tenir un registre des traitements en tant que responsable de traitement et en tant que sous- traitant Dérogations limitées (consentement, exécution d’un contrat…) Registre du RT ► Coordonnées du RT et le cas échéant, du Responsable conjoint du traitement, du représentant du RT et du DPO ► Finalités, catégories de personnes concernées et de données personnelles ► Catégories de destinataires (y compris ceux situés hors UE) ► Transferts de données (le cas échéant) ► Délais prévu pour l’effacement des données ► Mesures de sécurité Registre des traitements en pratique
  6. 6. Les nouvelles obligations du GDPR  Obligatoire pour les traitements susceptibles d’engendrer un «risque élevé pour les droits et libertés», et en particulier s’il y a :  Profilage,  Traitement à grande échelle de données sensibles,  Surveillance systématique et à grande échelle de zones accessibles au public.  Les Autorités de protection des données peuvent déterminer les catégories de traitements nécessitant une étude d’impact.  Consultation de l’Autorité de protection des données obligatoire si l’analyse d’impact confirme un « risque élevé ». © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. ANALYSE D’IMPACT (« PRIVACY IMPACT ASSESSMENT - PIA »)
  7. 7. Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. DÉSIGNATION D’UN DATA PRIVACY OFFICER ? Désignation obligatoire ► Autorité ou entité publique ► Activités principales qui impliquent des traitements induisant un « contrôle régulier et systématique des personnes à grande échelle » ► Traitements « à grande échelle des catégories particulières de données (données sensibles…) et des données relatives à des condamnations et infractions » Modalités ► DPO unique au niveau du groupe ► Personnel ou contrat de prestation de service Missions ► Informer et conseiller ► Contrôler la conformité des politiques internes (sensibilisation du personnel, audit…) ► Superviser la réalisation des PIA ► Point de contact avec les autorités ► Indépendance ► Absence de conflits d’intérêts ► Secret professionnel / obligation de confidentialité Fonction
  8. 8. Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Notification des violations de sécurité Privacy by Design Privacy by Default ► Conception des services tenant compte du respect de la vie privée ► Respect du principe de minimisation des données et de limitation des finalités ► Haut standard de sécurité depuis la conception ► Documentation des mesures techniques et opérationnelles ► Mise en œuvre des mesures techniques et organisationnelles pour garantir que par défaut, seules les données personnelles nécessaires à la finalité du traitement sont traitées (ex. quantité, accès limité aux seules personnes y ayant intérêt, etc.) ► Documentation des mesures techniques et opérationnelles Responsable de traitement Sous-traitant ► Obligation de notification étendue à l’ensemble des RT ► Contenu notification (catégories de données concernées, conséquences, mesures prises) ► Obligation d’alerter les individus si haut risque pour les droits et les libertés de l’individu (sauf mesures de protection appropriées prises) ► Obligation d’alerter et d’informer le RT de l’existence d’une violation de sécurité
  9. 9. Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. OBLIGATION DE SÉCURITÉ DU TRAITEMENT  Obligation à la charge du Responsable du traitement et du sous-traitant  Mise en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque Critères d’appréciation des mesures Catégories de mesures Etat des connaissances et coûts de mise en œuvre Nature, portée, contexte, finalité du traitement Risques présentés par le traitement (degré de probabilité et de gravité) résultant de la destruction, perte, altération, divulgation, accès non autorisé aux données Pseudonymisation / chiffrement des données Moyens permettant de garantir la confidentialité des systèmes de traitement… Procédure d’évaluation régulière des mesures de sécurité Moyens permettant de rétablir la disponibilité / accès aux données en cas d’incident physique ou technique Pseudonymisation ► Les données ne peuvent plus être attribuées à un individu sans avoir recours à des informations supplémentaires conservées de manière séparée afin de garantir qu’il ne soit plus identifié ou identifiable ► RÉVERSIBLE ► Technique consistant à supprimer tout caractère identifiant à un ensemble de données ► IRRÉVERSIBLE Anonymisation
  10. 10. Définition des mesures de sécurité appropriées (le cas échéant code de conduite, normes etc.) Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. En Pratique… ► Etablir un avenant-type avec ses sous-traitants ► Encadrer sa responsabilité en tant que sous-traitant dans les contrats de prestations aux clients Dérogations limitées (consentement, exécution d’un contrat…) Le sous-traitant répond aux seules instructions du RT Procédure de notification des failles de sécurité Autorisation du RT pour toute sous-traitance de second niveau Autorisation du RT et garanties adéquates en cas de transfert hors UE Externalisation en pratique
  11. 11. Les nouvelles obligations du GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. RÉGIME DES TRANSFERTS ► Restriction des transferts de données ► Le GDPR autorise les transferts de données vers des pays dont le régime fournit un niveau adéquat de protection des données personnelles. ► A défaut, il faut des garanties adéquates Dérogations limitées (consentement, exécution d’un contrat…) Instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics Binding Corporate Rules («BCR») Clauses contractuelles standard adoptées par la Commission européenne Clauses contractuelles standard adoptées par une autorité de contrôle et approuvées par la Commission Code de conduite approuvé Mécanisme de certification
  12. 12. Evolution des droits des personnes avec le GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Définition précisée (libre, spécifique et éclairée, univoque) Preuve à charge du RT Consentement des enfants (autorisation parentale, « raisonnables efforts » de vérification) Mentions supplémentaires (intérêt légitime du RT, droit de retirer son consentement, existence d’une décision automatisée, nouveaux droits, etc.) Renforcement Activités de marketing Profilage Précision de son champ d’application Consentement Information des personnes Droit d’accès Droits d’opposition
  13. 13. Evolution des droits des personnes avec le GDPR © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. NOUVEAUX DROITS Droit à l’effacement (droit à l’oubli) ► Droit d’obtenir l’effacement de ses données dans les meilleurs délais ► Conditions : données plus nécessaires, retrait du consentement, opposition au traitement… ► Exceptions : liberté d’expression et d’information, obligation légale… Droit à la limitation du traitement ► Contestation exactitude des données ► Traitement illicite et la personne préfère une limitation à un effacement ► Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale…) Droit à la portabilité des données ► Extension du droit d’accès (données fournies à un RT) ► Interopérabilité (format structuré, couramment utilisé et lisible par machine) ► Transfert (à un autre RT) ► Restrictions (traitement de données automatisés,…)
  14. 14. Sanctions © 2017 Propriété d'Ernst & Young Société d'Avocats Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Cadre Légal Actuel Règlement Européen ► Rappel : pouvoirs de contrôle de la CNIL ► Contrôle sur place; ► Contrôle sur pièces; ► Contrôle sur convocation; ► Contrôle en ligne. ► Rappel : pouvoirs des autorités de contrôle ► Pouvoirs de contrôle (enquête) ► Mener des enquêtes sous forme d’audit ► Procéder à un examen des certifications ► Accéder aux informations et aux locaux du RT et du ST… ► Pouvoir d’ester en justice ► Mécanisme de coopération et d’autorité chef de file ► Comité européen de la protection des données ► Pouvoirs de sanctions ► Renforcement des sanctions administratives : ► Jusqu’à 20 m€ ou 4 % du CA annuel global ; ► Simple avertissement. ► Sanction pénale applicable selon la législation nationale ► Sanctions : ► Sanctions administratives - ex. sanctions financières pécuniaires jusqu’à 3 000 000 € (loi pour une République Numérique) ; ► Sanctions pénales ; ► Risque d’image / commercial ; ► Risque de contentieux social / commercial.
  15. 15. 15 Votre interlocuteur au sein d’EY Société d’Avocats Ludivine Lille, Avocat EY Société d’Avocats Paris: Tour First, 1, place des Saisons, TSA 14444, Paris La Défense cedex ; Bordeaux: Hangar 16, Quai de Bacalan, CS 20052, 33070 Bordeaux cedex Tél. : 05.57.85.47.13 Fax : 05.57.85.47.01 Email : ludivine.lille@ey-avocats.com Fonction et formation Domaine de compétences  DEA Droit Anglais et Nord-Américain des Affaires – Université Panthéon-Sorbonne (Paris I)  Master 1 de droit des Affaires – Université Paris II – Panthéon Assas  LL.M (UCLA School of Law)  Titulaire du CAPA (EFB de Paris)  Titulaire du Barreau de New York Droit des données à caractère personnel Droit de l’informatique Droit de la propriété intellectuelle (marque, brevet et savoir-faire) Expériences  Audit de conformité à la règlementation relative à la protection des données personnelles  Réalisation d’analyse d’impact des traitements de données mis en œuvre pour le compte de groupes internationaux intervenant dans différents secteurs d’activités (banque, assurance, énergie, automobile, secteur pharma, secteur Public…)  Elaboration de feuille de route et mise à niveau en vue de l’entrée en application du Règlement général sur la protection des données (organisation de workshops de sensibilisation, rédaction et mise à jour de procédures internes, mentions d’information, clauses contractuelles …) pour des groupes industriels français  Assistance dans la mise en place de Correspondant Informatique et Libertés (CIL) (audit, mise en oeuvre du registre des traitements, documents de gouvernance, etc.)  Rédaction et déploiement de règles internes d’entreprise (Binding Corporate Rules) au sein de groupes internationaux  Animation de formation en matière de protection des données personnelles  Rédaction et mise en œuvre de procédures d’alertes professionnelles (« whistleblowing »)  Assistance dans la définition et la mise en œuvre des stratégies de gestion de données personnelles incluant la réalisation de formalités préalables et relations avec la Cnil, la rédaction des documents liés à la mise en œuvre des traitements de données (documents d’information, procédures de gestion, politique de conservation des données, contrats de sous-traitance …) et aux transferts de données à l’étranger  Assistance de différents acteurs du e-commerce dans le déploiement de leurs opérations commerciales et marketing en ligne  Rédaction / Audit de conditions générales d’utilisation de site internet

×