Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Présentation de Stéphanie Foulgoc

4,974 views

Published on

Journée du 30 mars 2018 de l'AAF "Open data et protection des données personnelles : où en sommes-nous ?"

Published in: Data & Analytics
  • Hello! Get Your Professional Job-Winning Resume Here - Check our website! https://vk.cc/818RFv
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Présentation de Stéphanie Foulgoc

  1. 1. 24 rue Erlanger, 75016 Paris Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com www.feral-avocats.com RGPD Les nouvelles règles sur les données 30 mars 2018 Stéphanie Foulgoc Avocate aux barreaux de Paris et du Québec
  2. 2.  France : loi informatique et libertés du 6 janv. 1978 modifiée en 2004 et en 2016  Union européenne : directive n°95/46/CE (transposée dans chaque Etat membre). Abrogée par le RGPD  Règlement européen général sur la protection des données ou RGPD (2016/679) du 27 avril 2016 • Issu d’actions de lobbying sans précédent pendant 6 ans • 173 considérants, 99 articles • Entrée en vigueur au 25 mai 2018 • Est-ce que ce texte est satisfaisant? © Féral-Schuhl / Sainte-Marie Protection des données personnelles : Etat des lieux de la réglementation
  3. 3.  Une quinzaine de sujets qui doivent faire l’objet d’actes d’application au niveau européen ou national  Au niveau national : • pour les données biométrique, génétique et les données de santé • pour consultation préalable des autorités de contrôle pour les traitements qui relève d’une mission de service public • pour les pouvoirs des autorités de contrôle • pour le régime des sanctions autre que les amendes administratives • pour la conciliation avec la liberté d’expression et la liberté d’information • sur le NIR • sur les données traitées dans le cadre des relations de travail • sur les personnes soumises à des obligations de secret • sur le traitement des données de mineurs © Féral-Schuhl / Sainte-Marie Le RGPD n’est qu’un début…
  4. 4.  Une quinzaine de sujets qui doivent faire l’objet d’actes d’application au niveau européen ou national  Au niveau européen : • Pour l’adoption des codes de conduite • Pour les décisions d’adéquation • Pour le BCR • Pour la coopération entre les autorités de contrôle • Pour l’échange d’information entre les autorités de contrôle • Pour la représentation des personnes devant l’autorité de contrôle • Pour la délivrance des certifications  Constat: – Peu probable que l’objectif d’harmonisation soit atteint – Primauté du droit européen, mais pas d’abrogation automatique du droit national  Complexité de la cohabitation des textes et difficultés d’interprétation. © Féral-Schuhl / Sainte-Marie Le RGPD n’est qu’un début…
  5. 5. Les principes de la loi de 1978 restent inchangés dans le RGPD  Traitement / Données / Responsable de traitements / Sous-traitant  Information / consentement des intéressés  Finalité licite / pertinence des données collectées  Droit des personnes : accès, rectification, suppression  Durée de conservation  Sécurité des données  Transfert des données à l’étranger
  6. 6. Mais des réalités techniques largement ignorées par le RGPD  Cloud computing ignoré : une gestion du transfert des données hors de l’U.E. comme en 1995…  Relations entre fournisseurs et clients : le sous-traitant est souvent plus puissant que le responsable du traitement  Mythe de l’audit et du contrat et de l’audit dans les rapports responsable de traitements / sous-traitant  Réalité de la sécurité des systèmes d’information
  7. 7. Nouvelles règles  « Accountability » vs « formalités préalables »  Protection des données dès la conception (« privacy by design ») / (« privacy by default »)  La réalisation d’analyses d’impact  La notification des violations de données personnelles à l’autorité de contrôle)  La nomination d’un DPO  Mettre en place et tenir à jour le registre des traitements  Revoir la gestion de ses sous-traitants (fournisseurs)  Sanctions considérablement augmentées (20 millions d’euros ou 4% du Chiffre d’affaires annuel mondial)
  8. 8. Le RGPD : les définitions  Traitement o Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (art. 4.2)  Données à caractère personnel o Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art. 4.1) © Feral-Schuhl / Sainte-Marie Avocats
  9. 9. Le RGPD : champs d’application Les archives privées et publiques directement concernées lorsqu’elles contiennent des données à caractère personnel: Ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité (art. L. 211-1, Code du Patrimoine) © Feral-Schuhl / Sainte-Marie Avocats
  10. 10. Le RGPD : identification des acteurs concernés  Responsable de traitement • La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; … (art. 4.7)  Sous-traitant • La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite les données pour le compte du responsable de traitement (art. 4.8)  Responsables conjoints de traitement • Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement (art. 26.1) © Feral-Schuhl / Sainte-Marie Avocats
  11. 11. Le RGPD : les principes relatifs au traitement  Licéité, loyauté, transparence  Nouvelle notion  limitation des finalités : les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités  Nouvelle notion  minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées © Feral-Schuhl / Sainte-Marie Avocats
  12. 12. Le RGPD : les principes relatifs au traitement  Exactitude : les données doivent être exactes et, si nécessaire, tenues à jour  Limitation de la durée de conservation : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées © Feral-Schuhl / Sainte-Marie Avocats
  13. 13. Le RGPD : les principes relatifs au traitement  Consentement au traitement  Traitement nécessaire à l’exécution d’un contrat  Traitement nécessaire au respect d’une obligation légale  RGPD et archivage : des objectifs contradictoires © Feral-Schuhl / Sainte-Marie Avocats
  14. 14. Protection des données personnelles & Archives  Archives / Protection des données personnelles : des contradictions apparentes  Articulation par le Code du Patrimoine : Lorsque les archives publiques comportent des données à caractère personnel collectées dans le cadre de traitements régis par la loi n°78- 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ces données font l'objet, à l'expiration de la durée prévue au 5°de l'article 6 de ladite loi, d'une sélection pour déterminer les données destinées à être conservées et celles, dépourvues d'utilité administrative ou d'intérêt scientifique, statistique ou historique, destinées à être éliminées (art. L. 212-3).
  15. 15. RGPD & Archives  Dérogations prévues par le RGPD au bénéfice des archives Consacre un article aux archives : art. 89 Vise les traitements « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques » • Prévoir des garanties appropriées des droits et libertés de la personne concernée • Possibles dérogations à l’exercice des droits des personnes dans le droit de l’UE ou droit des EM © Feral-Schuhl / Sainte-Marie Avocats 1 2
  16. 16. RGPD & Archives  Soumission des traitements à des garanties appropriées pour les droits et libertés de la personne concernée  Comment ? Mise en place de mesures techniques et organisationnelles : • Pour assurer la minimisation • Peuvent comprendre la pseudonymisation, dans la mesure où les finalités du traitement peuvent être atteintes de cette manière. © Feral-Schuhl / Sainte-Marie Avocats 1
  17. 17. RGPD & Archives  Dérogations possibles aux droits des personnes à prévoir dans le droit de l’UE ou droit national : • Pour traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16), limitation (art. 18), opposition (art. 21) • Pour traitement de données à des fins archivistiques dans l’intérêt public : o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16), limitation (art. 18), droit de notification (art. 19), droit d’opposition (art. 21) et droit à la portabilité (art. 20) © Feral-Schuhl / Sainte-Marie Avocats 2
  18. 18. RGPD & Archives  Autres dérogations :  Autorisation des traitements sur des catégories particulières de données personnelles (art. 9, j)  Droit à l’information (art. 14)  Droit à l’oubli (art. 17)  Archives dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques  sous réserve des conditions et garanties visées à l'article 89 © Feral-Schuhl / Sainte-Marie Avocats
  19. 19. RGPD & Archives  Une articulation incomplète • Archives visées par les dérogations (ie archives dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ) : o Quid du consentement ? Le traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ? (art. 6) o Anonymisation ? Pseudonymisation ? • Archives publiques non visées  soumission totale au RGPD • Archives privées non visées soumission totale au RGPD © Feral-Schuhl / Sainte-Marie Avocats
  20. 20.  Projet de loi relatif à la protection des données personnelles – décembre 2017 • Adopté par l’Assemblée nationale : 13 février 2018 • Adopté par le Sénat : 21 mars 2018  Lecture et articulation très complexe  Article 12 modifie l’article 36 de la loi Informatique et Libertés © Féral-Schuhl / Sainte-Marie RGPD – Transposition en droit national
  21. 21.  Article 12 du projet de loi • Traitements de données à caractère personnel mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du Code du patrimoine • Les droits d’accès, de rectification, à la limitation, à la portabilité, d’opposition ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. • Les conditions et garanties appropriées sont déterminées par le Code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique. © Féral-Schuhl / Sainte-Marie RGPD – Transposition en droit national
  22. 22. De nouvelles exigences applicables aux archives privées et publiques :  Sécurité des données  Responsabilisation des acteurs (Abandon des formalités, jugées inefficaces) • Principe « d’accountability » : mesures appropriées et effectives + être à même de démontrer la conformité des activités de traitement avec le RGPD, y compris l’efficacité des mesures (Consid. 74) • Registre des activités de traitements : obligatoire sauf entreprise de moins de 250 salariés, sauf traitement susceptible de comporter un risque pour les droits et libertés des personnes concernées ou portant sur données sensibles ou relatives à condamnations pénales / infractions (art. 30) • Privacy by Design / PIA © Féral-Schuhl / Sainte-Marie RGPD – Les nouveautés?
  23. 23.  Relations responsable de traitement / sous-traitant • sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir le respect du RGPD • sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. • contrat avec le sous-traitant doit prévoir un certain nombre d’engagements : agir sur instruction documentée, respect de la confidentialité, droit d’audit du responsable de traitement o code de conduite approuvé ou mécanisme de certification approuvé = élément pour démontrer l'existence des garanties suffisantes o contraintes qui s’ajoutent aux exigences du Code du patrimoine (R.212-19 s.) © Féral-Schuhl / Sainte-Marie RGPD – Les nouveautés?
  24. 24.  Désigner le sponsor interne  Dresser la cartographie des traitements  Prioriser les actions de mises à jour : durées de conservation, anonymisation, données sensibles, transferts hors U.E.  Mettre à plat les rapports avec les sous-traitants  Définir les prérequis « privacy by design »  Définir les processus internes pour : la gestion de la confidentialité, la gestion des droits des personnes concernées, la gestion des violations de données  Tenir à jour le registre  Suivre les recommandations de la CNIL à venir © Féral-Schuhl / Sainte-Marie Plan d’action
  25. 25. 24 rue Erlanger, 75016 Paris Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com www.feral-avocats.com Stéphanie Foulgoc Avocate aux barreaux de Paris et du Québec Feral-Schuhl / Sainte-Marie

×