Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

#DigiLex RGPD

41 views

Published on

Présentation de Latournerie Wolfrom Avocats à six mois de la mise en oeuvre du Rrèglement général sur la protection des données (RGPD)

Published in: Law
  • Be the first to comment

  • Be the first to like this

#DigiLex RGPD

  1. 1. Données personnelles et service public – Le risque d'un rendez-vous manqué #DigiLex 30 novembre 2017
  2. 2. 2 Une évolution textuelle majeure Aujourd’hui : 28 pays, 28 lois et 28 façons d’appliquer une seule directive (en France : loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés • 3 piliers : 1. Respect de grands principes très « juridiques » (loyauté et licéité de la collecte et du traitement, principe de finalité, de proportionnalité…) 2. Information des personnes 3. Formalités CNIL • Un risque pénal/réglementaire encore assez peu dissuasif (pour les acteurs importants) Demain : 1 seul texte : le RGPD du 27 avril 2016, applicable le 25 mai 2018 + reliquats de lois dans chaque Etat membre • Fondamentaux conservés, mais renforcés • Introduction de nouveaux droits (droit à la portabilité des données) • Renforcement significatif des sanctions administratives, devenant très dissuasives • Extension de certaines obligations pesant sur le responsable du traitement au sous-traitant • Quasi-disparition des formalités administratives • Mais, multiplication des obligations fonctionnelles (analyse d’impact, désignation d’un correspondant…) - un concept clé : l’accountability  Un véritable changement de paradigme  Une politique relative à la gestion des données personnelles à (ré)inventer
  3. 3. 3 Europe Extension du champ d’application territorial Actuellement • Etablissement du RT en Europe • Ou moyens de traitement en Europe Le 25 mai 2018 • Etablissement du RT ou du ST en Europe • Ou ciblage de personnes situées en Europe France (ou autre pays UE) Moyens de traitement (ex : hébergement) RESPONSABLE DE TRAITEMENT Utilisation • Fourniture de biens ou de services (même gratuits) • Suivi de comportement RESPONSABLE DE TRAITEMENT (hors UE) Sous-traitant (hors UE) RESPONSABLE DE TRAITEMENT Sous-traitant RESPONSAB LE DE TRAITEMENT (hors UE)
  4. 4. 4 https://www.keepcalm-o-matic.co.uk/p/keep-calm-and-implement-rgpd-2/ J – 176 avant la révolution
  5. 5. 5 Plus facile à dire qu’à faire ! Le RGDP : un texte, des obligations et des sanctions sur mesure pour les GAFA … mais qui s’applique à tous … Y compris à des organismes qui ne sont pas équipés et outillés pour répondre aux attentes de la règlementation :  En terme de personnel (compétences juridiques spécialisées, mais pas seulement : informatiques, sécurité, organisation…)  En terme de budgets (chiffres avancés par les entreprises : entre 200.000 et plusieurs dizaines de millions d’euros)  En terme d’outils (logiciels, applications RGDP-compliant…)
  6. 6. 6 Préoccupations des entreprises https://www.veritas.com/content/dam/Veritas/docs/reports/gdpr-report-fr.pdf
  7. 7. 7 Principales innovations du RGDP Accountability Information renforcée Privacy by Design Privacy by Default DPO parfois obligatoire Notification des failles Les sanctions comme moteur de cette (r)évolution ?
  8. 8. 8 Un véritable chef d’orchestre Mission d’information, de conseil et de contrôle en interne ► Identification du profil ► Désignation par la direction ► Le cas échéant, information des IRP ► Le cas échéant, désignation auprès de la CNIL ► Création d'un réseau interne de points de contacts métiers en support du DPO, voire d’un réseau de DPO Le DPO pilote de la conformité
  9. 9. 9 Un préalable indispensable : cartographier Pour chaque application/ traitement Qui ? Quoi ? Pourquoi ? Où ? Combien de temps ? Comment ?
  10. 10. 10 Disparition (ou presque…) des formalités préalables : une fausse bonne nouvelle – Un terme anglophone, imparfaitement traduit par le mot « responsabilité » – De nombreuses obligations fonctionnelles nouvelles : • Adoptions de règles internes documentées • Les formalités préalables sont remplacées par : – un registre des traitements – une obligation de réaliser des analyses d’impact (PIA-Privacy Impact Assessment en anglais) pour les traitements à risque  Ex de risque : surveillance à grande échelle, traitement de données sensibles ou de données concernant des enfants, profilage…  Qui figurent sur la liste des traitements soumis à consultation préalable obligatoire, établie par la CNIL – une consultation préalable obligatoire de la CNIL pour les traitements :  Qui ressortent comme à risque après le PIA Formalités CNIL préalables RegistrePré-analyse Analyse d’impact Consultation Préalable obligatoire suivie d’avis Traitements « à risque » Accountability : de quoi s’agit-il ?
  11. 11. 11 L’analyse d’impact : une composante de l’accountability Analyse d’impact Mise en place et évaluation de mesures de protection Identification et évaluation des risques vie privée Expression du besoin / spécifications
  12. 12. 12 Accountability : nous serons bientôt tous atteints de « procédurite » aigue Circuit de validation - Circuit interne de validation nouveaux traitements / évolutions - Identification des projets soumis à information et consultation des IRP (données RH) - Identification des projets à risques soumis à analyse d'impact - Identification des projets soumis à consultation préalable de la CNIL… Formalisation d'une politique de sécurité - Politique de gestion des mots de passe - Référentiels techniques de sécurité - Questionnaire de sécurité pour les prestataires - Clauses obligatoires dans les contrats avec les prestataires - Politique d'accès physique - Politique de gestion des habilitations … Rédaction de procédures, encore et toujours - Procédure de gestion des droits des personnes concernées (incluant les nouveaux droits: portabilité...) - Procédure d'horodatage du consentement des personnes concernées (quand le consentement est obligatoire) - Chartes d'utilisation des données pour les personnels amenés à accéder à des données personnelles - Programme d'audit - Plan de formation des personnels amenés à accéder à des données personnelles…
  13. 13. 13 3 Intégrer la protection de la vie privée dès la conception et dans l’architecture même des systèmes d’information Revient à prendre en compte dès le début de la conception d’un outil les exigences en matière de protection de la vie privée et à intégrer les outils de protection directement dans l’outil, au lieu de les ajouter ultérieurement sous forme de compléments. Ex : mettre en place un cryptage des données « identifiantes » pour limiter le risque en cas de faille de sécurité Privacy By Design Privacy By Default Mettre en oeuvre des mécanismes visant à une minimisation des données Eviter les difficultés rencontrées par les utilisateurs pour définir les paramètres de protection de leurs données personnelles et éviter un usage différent que celui pour lequel l’accord au partage ou à la récolte des données a été donné Ex : proposer des outils permettant aux personnes concernées de maîtriser leur utilisation des applications (options d’utilisation anonyme pré-activées, absence de partage des données par défaut…) Privacy by Design – Privacy by Default : concrètement, de quoi s’agit-il ?
  14. 14. 14 Mise à jour des mentions d'information obligatoires Déjà partiellement obligatoire suite à la loi dite Lemaire Identification de tous les supports de collecte de données personnelles Rédaction de plusieurs modèles de mentions d'information structurés pour pouvoir être réutilisés facilement : - Supports grand public (mentions dites légales des sites internet, affichettes…) - Supports destinés aux salariés - Clause-type pour les contrats Mise à jour des supports existants Renforcement de la transparence (ou quand trop d’information tue l’information)
  15. 15. 15 Constitution d'une cellule de gestion de crise activable à tout moment Définition d'une méthodologie d'évaluation des risques conditionnant le déclenchement d'une notification (CNIL, voire personnes concernées) Rédaction d'une procédure de notification 7 Se préparer à notifier les fuites de données
  16. 16. 16 Merci de votre attention Marie-Hélène Tonnellier Charlotte Barraco-David Latournerie Wolfrom Avocats 164 rue du Faubourg Saint-Honoré | 75008 Paris 5 rue Vauban | 33000 Bordeaux 62 rue de Bonnel |69003 Lyon T : +33 1 56 59 74 74 www.latournerie-wolfrom.com mh.tonnellier@latournerie-wolfrom.com c.barraco-david@latournerie-wolfrom.com

×