Les données personnelles : un patrimoine à sécuriser !
Dans un environnement réglementaire français et européen complexe et évolutif, comment la nouvelle réglementation européenne va-t-elle changer vos processus marketing et digitaux ?
Le 14 avril dernier, le parlement européen votait un nouveau règlement sur la protection des données.
Cette nouvelle réglementation s’inscrit dans la continuité du cadre législatif français existant mais modifie significativement les droits et les rapports entre les consommateurs, les entreprises et les autorités de protection et impose en particulier de se mettre en conformité d’ici deux ans.
Accompagnés du Cabinet PBA et fort de notre expérience opérationnelle, nous vous proposons une démarche concrète en évoquant les questions suivantes :
- Quelles sont les bonnes pratiques actuelles en matière de protection de données personnelles dans les bases marketing et le marketing digital ?
- Quels sont les principaux points du règlement de l’Union Européenne ?
- Quelle approche méthodologique et outils à adopter pour une mise en place d’une politique de traitement des données ?
- Quelles conséquences sur votre activité ? Concrètement, quels impacts sur votre animation digitale, votre pratique actuelle de gestion des consentements, de stockage et de protection des données.
34. sommaire
I. Présentation du règlement européen
Les apports du règlement européen
Renforcement des droits & création de droits nouveaux
Changement de paradigme & impacts sur l’entreprise
Les moyens mis en œuvre par l’autorité de contrôle & par l’entreprise
La mise en œuvre du principe d’accountability
Les nouvelles obligations à la charge de l’entreprise
Le rôle de la CNIL & la gestion des plaintes
Les pouvoirs d’enquête et de sanction
II. Le déploiement du Règlement au sein de l’entreprise
Déploiement & intégration du dispositif dans l’entreprise
La boîte à outils de la conformité
La période de transition
Le modèle de registre d’activité de traitement
La définition d’une politique générale de protection des données &
méthode d’analyse des risques
34
35. Introduction – Généralités
Adoption le 27 avril 2016 du règlement (UE) 2016/679 relatif à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation des données
Refonte du droit de la protection des données à caractère personnel
Périmètre plus large que la directive 95/46/CE relative à la protection des données à caractère
personnel
Pourquoi un nouveau cadre légal?
1) Évolution du numérique et de sa place dans la vie des individus
2) Existence de divergences d’interprétation de la directive entre les États
Conclusion: Obsolescence du dispositif légal introduit par la directive du 24 octobre 1995
35
36. 6 janvier 1978: Loi informatiques & libertés
24 octobre 1995 Adoption directive 95/46/CE
6 août 2004 Loi de transposition (LIL)
27 avril 2016 Adoption du Règlement 2016/679
Introduction – Historique & dates clés
25 mai 2018 Application du Règlement
36
37. Introduction – Les objectifs du Règlement
1. Clarification & élargissement des notions
2. Plus grande protection des droits des personnes
3. Responsabilisation
4. Régulation
Nécessité d’avoir un cadre commun là où les frontières n’existent plus
37
38. I. Les apports du règlement européen
Mise en œuvre d’un champ d’application élargi
La consécration de droits renforcés & de droits nouveaux
La création d’obligations & de responsabilités nouvelles pour les responsables de
traitement
Le passage d’une logique de contrôle a priori à celle d’accountability
Une crédibilisation de la régulation par la coopération et le renforcement des pouvoirs
d’enquête et de sanction
Un encadrement, un renforcement et une graduation des sanctions administratives
Changement radical de l’état d’esprit de la protection des données personnelles
38
39. I. Lerèglement–Extensionduchampd’applicationdelaprotectiondesdonnées
Champ d’application temporel
Traitements des données passés en cours de validité, les projets en cours & les projets futurs
Les traitements déjà mis en œuvre à cette date devront d’ici le 25 mai 2018 mis en
conformité avec le nouveau cadre légal
Impose aux entreprises d’être le plus tôt possible en conformité avec le règlement
Champ d’application territorial
- Responsable de traitement ayant un établissement dans l’UE
- Responsable de traitement non établis dans l’UE
Le Règlement s’applique à chaque fois qu’un résident européen sera directement visé
par un traitement de données
Champ d’application ratione personae
- Responsable de traitement
- Sous-traitant
Prise en compte de l’importance, de la multiplicité & de la technicité des sous-traitant
39
40. I. Lerèglement–Lerenforcement&laconsécrationdesdroits&deslibertés
Droit à
l’information
Droit à un recours
juridictionnel
effectif
Droit d’opposition
Droit de
rectification
Droit
d’accès
Droit à l’effacement
(droit à oubli)
Droit d’introduire
une réclamation
Droit d’information
d’une violation
Droit à la limitation
du traitement
Droit à la portabilité
Droit à réparation
Les droits renforcés
Les droits nouveaux
40
41. I. Lerèglement–Lesdroitsrenforcés
Droit d’être informé d’une façon concise,
transparente, compréhensible et aisément
accessible en des termes clairs et simples par le
responsable du traitement
Droit à l’information
Droit d’obtenir la confirmation que des données
à caractère personnel sont ou ne sont pas
traitées, et le cas échéant, y avoir accès
Droit d’accès
Droit d’obtenir dans les meilleurs
délais la rectification des données à
caractère personnel qui sont
inexactes
Droit de rectification
Droit de s’opposer à tout moment, pour des
raisons tenant à sa situation particulière, à un
traitement de données
Droit d’opposition
Droit de former un recours juridictionnel effectif contre:
- Une décision contraignante d’une autorité de contrôle
qui la concerne
- Le responsable du traitement si la personne concerné
considère que les droits conférés par le Règlement ont
été violés du fait du traitement
Droit à un recours juridictionnel
effectif
Droit d’obtenir du responsable du
traitement ou de son sous-traitant la
réparation du préjudice matériel ou moral
subi du fait d’une violation du Règlement
Droit à réparation
41
42. Tout individu peut exiger l’effacement
dans les meilleurs délais de ses données
à caractère personnel dès lors
qu’aucun motif légitime ne justifie leur
conservation
Droit à l’effacement
Droit d’introduire une réclamation auprès d’une
autorité de contrôle si la personne concernée
considère que le traitement de données à caractère
personnel constitue une violation du Règlement
Droit d’introduire une réclamation
Droit d’être informé en des termes clairs et simples et
de dans les meilleurs délais de la violation de
données à caractère personnel dès lors que celle-ci
est susceptible d’engendre un risque élevé pour ses
droits et libertés
Droit d’information d’une violation
Droit d’exiger une limitation temporaire du
traitement de ses données dès lors que surgit
une contestation de l’exactitude des données
ou si la personne a fait une opposition et ce,
dans l’attente de la vérification des éventuelles
raisons légitimes
Droit à la limitation du traitement
Droit de pouvoir récupérer et transférer ses
données à caractère personnel d’un
prestataire de service à un autre dans un
format structuré et intelligible
Droit à la portabilité
I. Lerèglement–Lesdroitsnouveaux
42
43. I. Changementdeparadigme&impactssurl’entreprise
Cadre légal insuffisant pour assurer une réelle protection de la vie privée
Nécessité d’intervenir en amont grâce à une démarche qui intègre à toute technologie des mesures
techniques & organisationnelles afin que cette technologie ne porte pas atteinte à la vie privée des
individus
Application du principe du privacy by design
L’accountablity repose sur 7 principes fondateurs du privacy by design dont l’objectif est double:
-Assurer une autorégulation efficace dès le départ
-Garantie une protection effective des données
Mise à plat de tout le système pour identifier les risques d’un mauvais usage
D’où vient le principe d’accountability?
43
44. Prendre des mesures
proactives et non
réactives
Assurer la protection
implicite de la vie privée
Intégrer la protection de
la vie privée dans la
conception des systèmes
& pratiques
Assurer une fonctionnalité intégrale
selon un paradigme à somme
positive
Assurer la sécurité de bout en
bout pendant une durée de
conservation
Assurer la visibilité &
la transparence
Respecter la vie
privée des utilisateurs
I. Changementdeparadigme&impactssurl’entreprise
1
2
3
45
6
7
Privacy
by
design
44
45. I. Lesmoyensmisenœuvreparl’autoritédecontrôle(1)
Normes simplifiées
Méthodologie de référence
Déclarations simplifiées
Suppression des formalités
déclaratives dès lors que les
traitements ne constituent
pas un risque pour la vie
privée
Accomplissement des
formalités dans chacun
des pays de l’UE
Guichet unique « One stop shop »
Mise en œuvre uniforme des programmes de conformité à l’échelle de l’UE
Pour l’entreprise = rationalisation des coûts
Avant Après
1
2
45
46. I. Lesmoyensmisenœuvreparl’entreprise(2)
Principe d’accountability (Art. 25 Règlement)
« Le responsable du traitement met en œuvre, tant au moment de la
détermination des moyens (privacy by design), qu’au moment du
traitement lui-même, des mesures techniques et organisationnelles
appropriées, qui sont destinés à mettre en œuvre les principes
relatifs à la protection des données de façon effective et à assortir le
traitement des garanties nécessaires afin de répondre aux exigences
légales et de protéger les droits des personnes »
Réalisation d’études d’impact sur la vie privée
Élaboration de codes de bonne conduite
Rédaction de Binding Corporate Rules (BCR)
Mise en œuvre d’une politique de protection des
données à caractère personnel
E n p r a t i q u e :
L’entreprise devra s’interroger sur le
respect par sa technologie du principe de
privacy by design dès lors que la
technologie permettra:
- D’être intrusive dans la vie privée des
utilisateurs
- De collecter massivement des données
46
47. I. Lamiseenœuvreduprinciped’accountability
Les exigences
1. La minimisation de l’utilisation des données: se limiter aux données strictement nécessaires à la
finalité
2. La limitation du volume des données traitées, de la durée de conservation & du nombre de
destinataires
3. L’anonymisation, le chiffrement ou la pseudonomysation des données
4. L’intégration d’un niveau très élevé de sécurité dans les dispositifs technologiques
5. L’empêchement de toute interconnexion et de croisement des données
6. La formation du personnel sur les problématiques de protection des données à caractère
personnel
Exigences au carrefour des obligations juridiques, informatiques, éthiques, économiques, organisationnelles…
E n p r a t i q u e :
Juristes & ingénieurs doivent travailler ensemble
Principe: Le responsable du traitement doit mettre en œuvre des mesures techniques et
organisationnelles appropriées pour s’assurer que le traitement est effectué conformément au règlement
(et être en mesure de le démontrer)
47
49. I. Lesnouvellesobligationsàlachargedel’entreprise – Latenued’unregistredes
traitements
Registre obligatoire si:
- Traitements susceptibles de comporter un risque pour les droits &
libertés
- Activité régulière de l’entreprise
- Traitement contient des données sensibles
Registre obligatoire
A la disposition de l’autorité de contrôle sur demande
49
51. I. Ladésignationd’undataprivacyofficer(DPO)
Responsabledela
conformitédestraitements
del’entrepriseàla
règlementationapplicable
Désignation d’un employé ou
d’untierssurlabasedeses:
- qualitésprofessionnelles
- connaissances expertes du
droitetdespratiques
- Capacité à accomplir les
missionsconfiées
Présenceobligatoiresi:
• Secteurpublic
• Activitésprincipalesimpliquent
letraitement
- Degrandsvolumesde
données,régulièrement&
systématiquement(profilage)
- Dedonnéessensiblesàgrande
échelle
1. Informer & conseiller le
responsable du traitement +
employés
2. Contrôler le respect de la
règlementation
3. ConseillersurlesEIVP
4. Coopérer avec l’autorité de
contrôle
Indépendancefonctionnelle
Indépendancehiérarchique
Obligationdesecret
Obligationdeconfidentialité
DPO
51
52. I. Letransfertdesdonnées
Union Européenne Hors UE Aux USA
Transfert vers un pays tiers subordonné à une décision d’adéquation adoptée par la
Commissioneuropéenneuniquementsil’Etatassureunniveaudeprotectionsuffisant
Délaisdetraitementvariables
Retarddansledéploiementopérationnel
Découragementdesorganisationssousfortepressionéconomique
Compétencede
chacunedesautorités
decontrôleconcernée
parletraitement
1. Décision d’adéquation
2. Binding Corporate
Rules
3. Code de conduite
4. Clauses contractuelles
types
+
Engagement contraignant
& exécutoire d’appliquer
les garanties appropriées
Privacy Shield
Depuis 1er août 2016
d’auto-certification
volontaire annuelle
+
Inscription sur un
registre administratif
Avant2016:
52
Après2016/2018:
53. I. Lasous-traitance
Sous-traitant = personne morale/physique traitant des données à caractère personnel pour le
compte du responsable du traitement
Responsabilité
Autorité de contrôle
Personne physique
Responsable du traitement
1. Contrat de sous-traitance écrit contenant
des dispositions impératives
2. Existence de garanties suffisantes en
matière de mesures techniques &
organisationnelles
3. Obtention autorisation écrite préalable du
responsable avant tout recours à un autre
sous-traitant
4. Mise en œuvre du traitement qu’avec
instruction du responsable du traitement
53
54. I. Le rôle de la CNIL
Confiance en
l’économie
numérique
Préservation de
la vie privée
Gestion de la
e-réputation
54
55. I. La gestion d’une plainte & processus de sanction de la CNIL
Particuliers, syndicats, association de
consommateurs/défense des droits de
l’Homme,
CNIL étrangère, organismes (HALDE,
OCLCTIC…), service de police, responsable
de traitement…
Instruction
1 Plainte à la CNIL
1. Accusé réception de la plainte
2. Envoi courrier au responsable du
traitement (observations sur les
agissements)
Réponse satisfaisante
Clôture de la
plainte
+
information du
plaignant
Réponse non
satisfaisante/absen
ce
Option
1. Transmission pour contrôle
2. Transmission pour sanction
Mise en demeure ou avertissement
Procédure de sanction
2
3
4
1. Désignation d’un rapporteur
2. Audition
3. Délibération
4. Sanction
55
56. I. Les pouvoirs d’enquête & de sanction
Les pouvoirs d’enquête Les sanctions
administratives
Ordonnerlacommunicationdetoute
informationnécessairedans
l’accomplissementdesesmissions
Mener des enquêtessouslaforme d’auditsur
laprotectiondesdonnées
Procéder à un examen des certifications
délivrées
Notifier une violation alléguée à la
réglementation
Obtenirl’accèsàtouteslesdonnées&àtoutes
lesinformationsnécessairesà
l’accomplissementdesesmissions
Obtenirl’accèsàtous leslocaux,installation&
moyensdetraitement
Prononcerunavertissement
Mettreendemeurel’entreprise
Limitertemporairement/définitivement
untraitement
Suspendrelesfluxdedonnées
Ordonnerdesatisfaireauxdemandes
d’exercicedesdroitsdespersonnes
Ordonnerlarectification,lalimitationou
l’effacementdesdonnées
Ordonnerleretraitdelacertification
Prononceruneamendeadministrative
56
57. I. Les amendes administratives
Amende < 10 m €
Ou 2% CAAM
Protection des mineurs
Traitement ne nécessitant pas
l’identification des données dès la
conception et protection des
données par défaut
Absence de représentant dans
l’UE
Obligations du sous-traitant
Défaut de transparence en
matière de certification
Amende < 20 m €
Ou 4% CAAM
Principes de bases d’un traitement
Conditions du consentement
Droits des personnes physique
Obligations dérivant du droit
national
Non-respect d’une injonction,
d’une limitation, d’une suspension
de flux ou dans un cadre d’une
enquête
Transfert de donnée
57
58. sommaire
I. Présentation du règlement européen
Les apports du règlement européen
Renforcement des droits & création de droits nouveaux
Changement de paradigme & impacts sur l’entreprise
Les moyens mis en œuvre par l’autorité de contrôle & par l’entreprise
La mise en œuvre du principe d’accountability
Les nouvelles obligations à la charge de l’entreprise
Le rôle de la CNIL & la gestion des plaintes
Les pouvoirs d’enquête et de sanction
II. Le déploiement du Règlement au sein de l’entreprise
Déploiement & intégration du dispositif dans l’entreprise
La boîte à outils de la conformité
La période de transition
Le modèle de registre d’activité de traitement
La définition d’une politique générale de protection des données &
méthode d’analyse des risques
58
59. II. Déploiement&intégrationdudispositifdansl’entreprise
Les risques de non-conformité (pénal, administrative, image) obligent les entreprises à bien les
comprendre & à engager des programmes internes de mise en conformité
La définition & l’anticipation des risques constituent une opportunité pour faire de la protection
des données un élément de valorisation des actifs & un avantage concurrentiel
L’anticipation des risques va permettre aux entreprises de regagner la confiance de leurs clients
de plus en plus sensibles aux problématiques de protection de la vie privée
Le respect le plus tôt possible des dispositions va permettre aux entreprises de se prémunir:
- Des poursuites judiciaires
- Des vols de données qui pourraient être utilisés pour les concurrencer
- Des risques inhérents à des pertes ou des vols qui auraient des conséquences
irrémédiables sur l’image de l’entreprise
59
60. II. La boîte à outils de la conformité
Binding
Corporate Rules
Code de
conduite
Certification
Vise à garantir la
conformité des
comportements des
salariés et dirigeants par
rapport aux règles de
l’entreprise, selon une
approche sectorielle
Normes internes relatives
aux transferts de données
à un responsable de
traitement établi dans un
pays tiers au sein d’un
groupe d’entreprises
Mécanismes de
certifications, de labels
et de marques afin
d’attester de la
conformité des
traitements effectués
au règlement
Approbation par la
Commission Européenne
Approbation par
l’autorité chef de file
Mise en œuvre & contrôlé par
le Comité européen de la
protection des données
Instruments « d’autorégulation »
60
62. Les noms et coordonnées du responsable de traitement, de
sonreprésentantetduDPO
Lesfinalitésdutraitement
Ladescriptiondescatégoriesdepersonnesconcernées
La description des catégories de données à caractère
personnelobjetdutraitement
Les catégories de destinataires auxquels les données seront
communiquées
Les transferts de données vers un pays tiers, l’identification du
pays tiers & les justificatifs attestant l’existence de garanties
appropriées
Lesdélaisprévuspourl’effacementdesdifférentescatégories
dedonnées
Unedescriptiongénéraledesmesuresdesécuritétechniques
etorganisationnelles
1
2
3
4
5
6
7
Informations obligatoires
II. Modèlederegistredestraitements
2
3
4
5
6
7
8
62
63. II. La définition d’une politique générale de protection des données
Mesures techniques et organisationnelles
En fonction de l'entreprise ou de l'organisme
Déploiement hors UE
Formations internes
63