Protection des données
personnelles :
les nouveaux enjeux du règlement
européen (GDPR)
Ludivine Lille, EY Société d’Avocats

Réforme du cadre règlementaire : le GDPR
 Objectif de la réforme : refonte de l’ensemble du cadre juridique européen issu de la Directive 95-46 du 24 octobre 1995
 Application directe du GDPR dans tous les Etats membres de l’UE
 Calendrier de mise en œuvre du GDPR
© 2017 Propriété d'Ernst & Youg Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires
oraux qui l’accompagnent.
 Extension du champ d’application
Matériel Territorial
► Traitements de données à caractère personnel
► Personnes physiques
► Exclusion des activités personnelles
► Etablissement du Responsable de
Traitement (RT) ou sous-traitant (ST) en UE
► RT ou ST non établi en UE
14 Avril 2016
Adoption du GDPR
par les Etats membres
2017
Développement
d’un plan d’action ?
25 Mai 2018
Entrée en vigueur
du GDPR

Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
► Personne physique ou morale, autorité publique,
service ou autre organisme
► Seul ou conjointement avec d'autres
► Détermine les finalités et les moyens du traitement
► Personne physique ou morale, autorité publique,
service ou autre organisme
► Traite des données à caractère personnel pour le
compte du responsable du traitement
Responsable
de traitement
Sous-traitant
► Responsable de l’ensemble des obligations mises à
sa charge par le GDPR
► Responsable du dommage causé par le traitement
► Toute personne ayant subi un dommage a droit à
réparation du fait d’une violation du GDPR
► Responsable du dommage causé par le traitement
uniquement s’il n’a pas respecté ses obligations ou
a agi en dehors des instructions du RT
IDENTIFICATION DES PRINCIPAUX ACTEURS ► RÉPARTITION DES RESPONSABILITÉS

Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
► Allègement des formalités préalables
► Suppression des déclarations
► Régime spécifique de demande d’autorisation
maintenu pour certains transferts hors UE
► Régime de consultation préalable défini pour
certains traitements
► Accountability
► Obligation de recenser les traitements
RESPONSABILISATION DES ACTEURS

Registre du ST
► Coordonnées du ST , du RT, et le cas échéant, du représentant du RT et du
DPO
► Catégories de traitements
► Transferts de données (le cas échéant)
► Mesures de sécurité
Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
En Pratique…
Tenir un registre des traitements
en tant que responsable de
traitement et en tant que sous-
traitant
Dérogations limitées (consentement, exécution d’un contrat…)
Registre du RT
► Coordonnées du RT et le cas échéant, du Responsable conjoint du
traitement, du représentant du RT et du DPO
► Finalités, catégories de personnes concernées et de données personnelles
► Catégories de destinataires (y compris ceux situés hors UE)
► Transferts de données (le cas échéant)
► Délais prévu pour l’effacement des données
► Mesures de sécurité
Registre des
traitements
en pratique

Les nouvelles obligations du GDPR
 Obligatoire pour les traitements susceptibles d’engendrer un «risque élevé pour les droits et libertés», et en particulier s’il y a :
 Profilage,
 Traitement à grande échelle de données sensibles,
 Surveillance systématique et à grande échelle de zones accessibles au public.
 Les Autorités de protection des données peuvent déterminer les catégories de traitements nécessitant une étude d’impact.
 Consultation de l’Autorité de protection des données obligatoire si l’analyse d’impact confirme un « risque élevé ».
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires
oraux qui l’accompagnent.
ANALYSE D’IMPACT (« PRIVACY IMPACT ASSESSMENT - PIA »)

Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
DÉSIGNATION D’UN DATA PRIVACY OFFICER ?
Désignation obligatoire
► Autorité ou entité publique
► Activités principales qui
impliquent des traitements
induisant un « contrôle régulier
et systématique des personnes
à grande échelle »
► Traitements « à grande échelle
des catégories particulières de
données (données sensibles…)
et des données relatives à des
condamnations et infractions »
Modalités
► DPO unique au niveau du
groupe
► Personnel ou contrat de
prestation de service
Missions
► Informer et conseiller
► Contrôler la conformité des
politiques internes
(sensibilisation du personnel,
audit…)
► Superviser la réalisation des PIA
► Point de contact avec les
autorités
► Indépendance
► Absence de conflits d’intérêts
► Secret professionnel /
obligation de confidentialité
Fonction

Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Notification des violations de sécurité
Privacy by Design Privacy by Default
► Conception des services tenant compte du respect de la vie privée
► Respect du principe de minimisation des données et de limitation
des finalités
► Haut standard de sécurité depuis la conception
► Documentation des mesures techniques et opérationnelles
► Mise en œuvre des mesures techniques et organisationnelles pour
garantir que par défaut, seules les données personnelles nécessaires
à la finalité du traitement sont traitées (ex. quantité, accès limité aux
seules personnes y ayant intérêt, etc.)
► Documentation des mesures techniques et opérationnelles
Responsable de traitement Sous-traitant
► Obligation de notification étendue à l’ensemble des RT
► Contenu notification (catégories de données concernées,
conséquences, mesures prises)
► Obligation d’alerter les individus si haut risque pour les droits et les
libertés de l’individu (sauf mesures de protection appropriées prises)
► Obligation d’alerter et d’informer le RT de l’existence d’une violation
de sécurité

Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
OBLIGATION DE SÉCURITÉ DU TRAITEMENT
 Obligation à la charge du Responsable du traitement et du sous-traitant
 Mise en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque
Critères
d’appréciation
des mesures
Catégories
de mesures
Etat des connaissances et coûts de
mise en œuvre
Nature, portée, contexte, finalité du
traitement
Risques présentés par le traitement
(degré de probabilité et de gravité)
résultant de la destruction, perte,
altération, divulgation, accès non
autorisé aux données
Pseudonymisation / chiffrement des
données
Moyens permettant de garantir la
confidentialité des systèmes de
traitement…
Procédure d’évaluation régulière des
mesures de sécurité
Moyens permettant de rétablir la
disponibilité / accès aux données en cas
d’incident physique ou technique
Pseudonymisation
► Les données ne peuvent plus être attribuées à un
individu sans avoir recours à des informations
supplémentaires conservées de manière séparée
afin de garantir qu’il ne soit plus identifié ou
identifiable
► RÉVERSIBLE
► Technique consistant à supprimer tout caractère
identifiant à un ensemble de données
► IRRÉVERSIBLE
Anonymisation

Définition des mesures de sécurité appropriées (le cas échéant code de conduite,
normes etc.)
Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
En Pratique…
► Etablir un avenant-type avec
ses sous-traitants
► Encadrer sa responsabilité en
tant que sous-traitant dans les
contrats de prestations aux
clients
Dérogations limitées (consentement, exécution d’un contrat…)
Le sous-traitant répond aux seules instructions du RT
Procédure de notification des failles de sécurité
Autorisation du RT pour toute sous-traitance de second niveau
Autorisation du RT et garanties adéquates en cas de transfert hors UE
Externalisation
en pratique

Les nouvelles obligations du GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
RÉGIME DES TRANSFERTS
► Restriction des transferts de
données
► Le GDPR autorise les transferts
de données vers des pays dont
le régime fournit un niveau
adéquat de protection des
données personnelles.
► A défaut, il faut
des
garanties adéquates
Dérogations limitées (consentement, exécution d’un contrat…)
Instrument juridiquement contraignant et exécutoire entre les autorités ou organismes
publics
Binding Corporate Rules («BCR»)
Clauses contractuelles standard adoptées par la Commission européenne
Clauses contractuelles standard adoptées par une autorité de contrôle et
approuvées par la Commission
Code de conduite approuvé
Mécanisme de certification

Evolution des droits des personnes avec le GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Définition précisée (libre,
spécifique et éclairée, univoque)
Preuve à charge du RT
Consentement des enfants
(autorisation parentale,
« raisonnables efforts »
de vérification)
Mentions supplémentaires
(intérêt légitime du RT, droit de
retirer son consentement,
existence d’une décision
automatisée, nouveaux droits,
etc.)
Renforcement
Activités de marketing
Profilage
Précision
de son champ d’application
Consentement
Information
des
personnes
Droit
d’accès
Droits
d’opposition

Evolution des droits des personnes avec le GDPR
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires
oraux qui l’accompagnent.
NOUVEAUX DROITS
Droit à
l’effacement
(droit à
l’oubli)
► Droit d’obtenir l’effacement de ses données dans les meilleurs délais
► Conditions : données plus nécessaires, retrait du consentement, opposition au traitement…
► Exceptions : liberté d’expression et d’information, obligation légale…
Droit
à la limitation
du
traitement
► Contestation exactitude des données
► Traitement illicite et la personne préfère une limitation à un effacement
► Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale…)
Droit
à la portabilité
des données
► Extension du droit d’accès (données fournies à un RT)
► Interopérabilité (format structuré, couramment utilisé et lisible par machine)
► Transfert (à un autre RT)
► Restrictions (traitement de données automatisés,…)

Sanctions
© 2017 Propriété d'Ernst & Young Société d'Avocats
Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires
oraux qui l’accompagnent.
Cadre Légal Actuel Règlement Européen
► Rappel : pouvoirs de contrôle de la CNIL
► Contrôle sur place;
► Contrôle sur pièces;
► Contrôle sur convocation;
► Contrôle en ligne.
► Rappel : pouvoirs des autorités de contrôle
► Pouvoirs de contrôle (enquête)
► Mener des enquêtes sous forme d’audit
► Procéder à un examen des certifications
► Accéder aux informations et aux locaux du RT et du ST…
► Pouvoir d’ester en justice
► Mécanisme de coopération et d’autorité chef de file
► Comité européen de la protection des données
► Pouvoirs de sanctions
► Renforcement des sanctions administratives :
► Jusqu’à 20 m€ ou 4 % du CA annuel global ;
► Simple avertissement.
► Sanction pénale applicable selon la législation nationale
► Sanctions :
► Sanctions administratives - ex. sanctions financières pécuniaires jusqu’à
3 000 000 € (loi pour une République Numérique) ;
► Sanctions pénales ;
► Risque d’image / commercial ;
► Risque de contentieux social / commercial.

15
Votre interlocuteur au sein d’EY Société d’Avocats
Ludivine Lille, Avocat
EY Société d’Avocats
Paris: Tour First, 1, place des Saisons, TSA 14444, Paris La Défense cedex ; Bordeaux: Hangar 16, Quai de Bacalan, CS 20052, 33070 Bordeaux cedex
Tél. : 05.57.85.47.13
Fax : 05.57.85.47.01
Email : ludivine.lille@ey-avocats.com
Fonction et formation Domaine de compétences
 DEA Droit Anglais et Nord-Américain des Affaires – Université Panthéon-Sorbonne (Paris I)
 Master 1 de droit des Affaires – Université Paris II – Panthéon Assas
 LL.M (UCLA School of Law)
 Titulaire du CAPA (EFB de Paris)
 Titulaire du Barreau de New York
Droit des données à caractère personnel
Droit de l’informatique
Droit de la propriété intellectuelle (marque, brevet et savoir-faire)
Expériences
 Audit de conformité à la règlementation relative à la protection des données personnelles
 Réalisation d’analyse d’impact des traitements de données mis en œuvre pour le compte de groupes
internationaux intervenant dans différents secteurs d’activités (banque, assurance, énergie, automobile,
secteur pharma, secteur Public…)
 Elaboration de feuille de route et mise à niveau en vue de l’entrée en application du Règlement général
sur la protection des données (organisation de workshops de sensibilisation, rédaction et mise à jour de
procédures internes, mentions d’information, clauses contractuelles …) pour des groupes industriels
français
 Assistance dans la mise en place de Correspondant Informatique et Libertés (CIL) (audit, mise en oeuvre du
registre des traitements, documents de gouvernance, etc.)
 Rédaction et déploiement de règles internes d’entreprise (Binding Corporate Rules) au sein de groupes
internationaux
 Animation de formation en matière de protection des données personnelles
 Rédaction et mise en œuvre de procédures d’alertes professionnelles
(« whistleblowing »)
 Assistance dans la définition et la mise en œuvre des stratégies de gestion de
données personnelles incluant la réalisation de formalités préalables et relations
avec la Cnil, la rédaction des documents liés à la mise en œuvre des traitements de
données (documents d’information, procédures de gestion, politique de
conservation des données, contrats de sous-traitance …) et aux transferts de
données à l’étranger
 Assistance de différents acteurs du e-commerce dans le déploiement de leurs
opérations commerciales et marketing en ligne
 Rédaction / Audit de conditions générales d’utilisation de site internet