© Arismore 1
Se préparer aux nouvelles obligations
en matière de traitement des données personnelles.
© Arismore 2
Intervenants
Marie ABADIE
Avocate
Spécialisée en droit des affaires et
en protection des données
personnelles...
© Arismore 3
Agenda
• Contexte
> Historique et particularités
> Entreprises et données concernées
> Le calendrier
• Impact...
© Arismore 4
Contexte
Historiques et particularités
Loi
« Informatique et Libertés »
du 6 janvier 1978
Directive
européenn...
© Arismore 5
CONTENU
• 200 pages de loi, de nombreux articles
• La réforme de la protection des données se compose de deux...
© Arismore 6
TOUTE ENTREPRISE
privée ou publique proposant des biens et services sur le marché de l’UE dès
lors que le tra...
© Arismore 7
LE RÈGLEMENT S’APPLIQUE
au traitement des données à caractère personnel*, automatisé ou non automatisé
conten...
© Arismore 8
Contexte
Calendrier
Contrairement à une directive, le règlement est
obligatoire dans toutes ses dispositions ...
© Arismore 9
Agenda
• Contexte
> Historique et particularités
> Entreprises et données concernées
> Calendrier
• Impacts
>...
© Arismore 10
Impacts applicables à tous
Responsable de traitement et sous-traitant
CE QUE PRÉVOIT LE RÈGLEMENT
• Une simp...
© Arismore 11
Impacts applicables à tous
Mais aussi …
CE QUE PRÉVOIT LE RÈGLEMENT
• Accountability : le registre des trait...
© Arismore 12
Impacts applicables
Aux responsables de traitement
CE QUE PRÉVOIT LE RÈGLEMENT
• Analyse d’impact relative à...
© Arismore 13
• aux responsables de traitement
Impacts applicables
Aux sous-traitants
CE QUE PRÉVOIT LE RÈGLEMENT
• Pour r...
© Arismore 14
Agenda
• Contexte
> Définitions et vocabulaire
> Historique et particularités
> Entreprises concernées
• Imp...
© Arismore 15
Conclusion
RESPONSABILITÉ
RENFORCÉE
Régime de responsabilité applicable
aux responsables de traitement et
au...
© Arismore 16
Conclusion
DES VOIES DE RECOURS
(Article 78, 79)
Recours en justice
DES EXIGENCES
Les entreprises devront ap...
© Arismore 17
Par quoi commencer ?
1
DPO
Le nommer dès à présent
2
ANALYSE D’ECARTS
à faire pour définir la trajectoire
6
...
© Arismore 18
Merci
Prochain SlideShare
Chargement dans…5
×

Les impacts du nouveau règlement européen GDPR

310 vues

Publié le

Selon un sondage Ipswitch en 2014, 56% des entreprises ne savent pas ce qu'est GDPR.

GDPR (General Data Protection Regulation) : 200 pages de loi couvrant le traitement des données personnelles pour uniformiser les législations au niveau européen, simplifier les formalités pour les entreprises et renforcer le droit des personnes.

Quels impacts pour votre entreprise ?

Au programme :
- Contexte et particularités de la loi GDPR
- Impacts applicables à tous (responsables de traitement et sous-traitants)
- Impacts applicables aux seuls responsables de traitement
- Impacts applicables aux seuls sous-traitants
- Par quoi commencer ? (DPO, Analyse d'impact, Analyse de risque, Privacy by default, Privacy by design, registre des traitements)

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
310
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • 8 Avril 2016 : Adoption par le Conseil de l’UE
  • Exception : Pas d’obligation de communiquer si le DPO a mis en ouvre les mesures de protection techniques et organisationnelles appropriées telles le chiffrement et si l’information à la CNIL demande des efforts disproportionnés, il est plutôt recommandé de procéder à une communication publique.

    [CNIL] Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données

    Important : Garder la cohérence
  • Le transfert de données vers des États tiers ne nécessitera plus d’autorisation de transfert par la CNIL mais exigera la signature d’un contrat de transfert de données.
  • Analyse d’impact  Quel est la nature du traitement, risques et mesures adoptées
    Liste des traitement à risques à définir par la CNIL

    Donner la parole à Younès notamment sur privacy by design et privacy by default
  • Analyse d’impact  Quel est la nature du traitement, risques et mesures adoptées
    Liste des traitement à risques à définir par la CNIL

    Donner la parole à Younès notamment sur privacy by design et privacy by default
  • Les impacts du nouveau règlement européen GDPR

    1. 1. © Arismore 1 Se préparer aux nouvelles obligations en matière de traitement des données personnelles.
    2. 2. © Arismore 2 Intervenants Marie ABADIE Avocate Spécialisée en droit des affaires et en protection des données personnelles et IoT abadie@abadie-avocats.com Diane OUANDJI Consultante sécurité ISO 27005 Risk Manager ISO 27001 Lead Implementer diane.ouandji@arismore.fr Younès FELAHI Consultant sécurité younes.felahi@arismore.fr
    3. 3. © Arismore 3 Agenda • Contexte > Historique et particularités > Entreprises et données concernées > Le calendrier • Impacts > Impacts applicables à tous > Impacts applicables aux responsables de traitement > Impacts applicables aux sous traitants • Conclusion
    4. 4. © Arismore 4 Contexte Historiques et particularités Loi « Informatique et Libertés » du 6 janvier 1978 Directive européenne 95/46/CE Transposition par la loi du 6 août 2004 Règlement européen 2016/679
    5. 5. © Arismore 5 CONTENU • 200 pages de loi, de nombreux articles • La réforme de la protection des données se compose de deux projets législatifs: > Un règlement général, couvrant le traitement des données personnelles dans l'UE > Une directive sur le traitement des données pour prévenir, enquêter, détecter ou poursuivre les infractions pénales ou appliquer des sanctions pénales. OBJECTIFS • Uniformisation des législations au niveau européen • Simplification des formalités pour les entreprises • Renforcement des droits des personnes Contexte Historique et particularités
    6. 6. © Arismore 6 TOUTE ENTREPRISE privée ou publique proposant des biens et services sur le marché de l’UE dès lors que le traitement de données à caractère personnel concerne des résidents de l’UE. Sont donc inclus : • Les organismes publics • Les entreprises dont le siège est hors UE mais opérant dans l’UE sur des données de citoyens UE • Les sous-traitants dont les activités rentrent dans ce cadre Contexte Entreprises concernées
    7. 7. © Arismore 7 LE RÈGLEMENT S’APPLIQUE au traitement des données à caractère personnel*, automatisé ou non automatisé contenues ou appelées à figurer dans un fichier *DONNÉES À CARACTÈRE PERSONNEL toute information se rapportant à une personne physique identifiée ou identifiable Contexte Données concernées La définition des données personnelles ne change donc pas fondamentalement
    8. 8. © Arismore 8 Contexte Calendrier Contrairement à une directive, le règlement est obligatoire dans toutes ses dispositions et sans transposition au niveau interne 14 14 avril 2016 adoption par le parlement européen 24 24 mai 2016 Publication au JO de l’UE 25 25 mai 2018 Application directe
    9. 9. © Arismore 9 Agenda • Contexte > Historique et particularités > Entreprises et données concernées > Calendrier • Impacts > Impacts applicables à tous > Impacts applicables aux responsables de traitement > Impacts applicables aux sous traitants • Conclusion
    10. 10. © Arismore 10 Impacts applicables à tous Responsable de traitement et sous-traitant CE QUE PRÉVOIT LE RÈGLEMENT • Une simplification des formalités administratives suppression des déclarations préalables et création d’un guichet unique (one-stop-shop) (Art 60) • Démontrer la bonne application du règlement promotion des codes de conduite (Articles 40 à 43) et procédures de certification et de labellisation (Art 42) • Exigence d’un représentant situé dans l’Union (Article 27) • Désignation d’un DPO (délégué à la protection des données) (Article 37 et s.) • Notification des failles de sécurité dans les 72h (Article 33 et 34) EXEMPLES DE DÉCLINAISON OPÉRATIONNELLE • Désigner un DPO Juriste informaticien et non plus un correspondant informatique et libertés • Mise en place : d’un SMSI, d’outils détectant les tentatives d’intrusion, processus/procédures de gestion de crises en cas de faille
    11. 11. © Arismore 11 Impacts applicables à tous Mais aussi … CE QUE PRÉVOIT LE RÈGLEMENT • Accountability : le registre des traitements désormais obligatoire pour (Art 30) les entreprise de plus de 250 salariés les entreprise de moins de 250 salariés, effectuant des traitements comportant des risques pour les droits et obligations des personnes, ou si les traitements des données personnelles ne représente pas une activité occasionnelle ou comportent des données sensibles Selon les modalités des articles 30.1 et 30.2, sont concernées les responsables de traitements et les sous-traitants
    12. 12. © Arismore 12 Impacts applicables Aux responsables de traitement CE QUE PRÉVOIT LE RÈGLEMENT • Analyse d’impact relative à la protection des données (PIA) obligatoire (Art 35) • Obligation d’information renforcée promotion des codes de conduite (Articles 40 à 43) et procédures de certification et de labellisation (Art 42) • Renforcement du consentement (Article 7) : inéluctable et explicite • Protection spécifique des mineurs (Article 8) • Droit à l’effacement, droit à l’oubli, portabilité (Article 17) • Privacy by Design et Privacy by Default (Article 25) protection de la vie privée dès la conception, par anticipation EXEMPLES DE DÉCLINAISON OPÉRATIONNELLE • Mise en place : d’une gestion globale des risques • Mise à jour : des processus et outils pour recueillir explicitement le consentement de l’utilisateur
    13. 13. © Arismore 13 • aux responsables de traitement Impacts applicables Aux sous-traitants CE QUE PRÉVOIT LE RÈGLEMENT • Pour recourir à un autre sous-traitant obligation d'obtenir l'autorisation préalable du responsable de traitement • Interdiction d'effectuer un traitement de données sans instruction du responsable de traitement. • Obligation de faire figurer des dispositions spécifiques dans les contrats conclus entre les responsables de traitement et les sous-traitants. EXEMPLES DE DÉCLINAISON OPÉRATIONNELLE • Mise en place : d’un Plan d’Assurance Sécurité, SMSI et certification ISO 27001
    14. 14. © Arismore 14 Agenda • Contexte > Définitions et vocabulaire > Historique et particularités > Entreprises concernées • Impacts > Impacts applicables à tous > Impacts applicables aux responsables de traitement > Impacts applicables aux sous traitants • Conclusion
    15. 15. © Arismore 15 Conclusion RESPONSABILITÉ RENFORCÉE Régime de responsabilité applicable aux responsables de traitement et aux sous-traitants SANCTIONS ACCRUES jusqu’à 20.000.000€ Amendes administratives 4% du CA mondial total de l’exercice précédent pour les entreprises
    16. 16. © Arismore 16 Conclusion DES VOIES DE RECOURS (Article 78, 79) Recours en justice DES EXIGENCES Les entreprises devront apporter la preuve démontrer le respect des exigences GDPR Dépôt d’une plainte auprès de la CNIL droit à réparation du préjudice subi du fait du non-respect des obligations du règlement AU CŒUR DES ACTIVITÉS ce qui implique une transformation des processus internes.
    17. 17. © Arismore 17 Par quoi commencer ? 1 DPO Le nommer dès à présent 2 ANALYSE D’ECARTS à faire pour définir la trajectoire 6 INTÉGRER le “Privacy by Design” et le “Privacy by Default” 5 RISQUES Gestion globale des risques 4 Registre des traitements de données à caractère personnel 3 AUDITER LES CONTRATS
    18. 18. © Arismore 18 Merci

    ×