RGDP: FOSSOYEUR DU
MARKETING DIGITAL ?
26 MAI 2021

Prof. Jacques Folon, Ph.D.
CEO & Founder GDPRfolder.eu
DPO externe
Professeur ICHEC
Prof. inv. Université Saint Louis – ESC Rennes
Keynote speaker
Livres publiés au sujet de la vie privée
Guide de survie du DPO (sortie sept. 2021)
50 nuances de liberté
Le printemps numérique
Internet et vie privée, faut-il avoir peur?
jacques@gdprfolder.eu
linkedin.com/in/folon
+ 32 475 98 21 15
QQ références

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

CONTEXTE

CONTEXTE GLOBAL
TRANSFORMATION DIGITALE ET DATA

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Le RGPD
en un slide
TER
R
ITO
R
IA
LSC
O
PE
Non-EUEstablishedO
rganizations
O
ffer goods or ser vices or engaging in
m
onitoring within the EU
.
PER
SO
NA
LD
A
TA SENSITIVED
A
TA
ENFO
R
C
EM
ENT
LA
W
FU
LPR
O
C
ESSING
C
O
NSENT
R
ESPO
NSIB
ILITIESO
FD
A
TAC
O
NTR
O
LLER
SA
NDPR
O
C
ESSO
R
S
R
IG
H
TSO
FD
A
TASU
B
JEC
TS
Transparency
Purpose
Specificationand
M
inim
ization
A
ccess and
R
ectification
A
utom
ated
D
ecision- M
aking
R
ightto D
ata
Portability
R
ightto
Erasure
D
A
TAB
R
EA
C
HNO
TIFIC
A
TIO
N
D
ataProtection
O
fficer (D
PO
)
D
ata
Protectionby
D
esign
INTER
NA
TIO
NA
LD
A
TATR
A
NSFER
D
ataIm
pact
A
ssessm
ent
R
ecordof D
ata
ProcessingA
ctivities
TH
EPLA
YER
S
D
ata
Subjects
D
ataC
ontrollers
D
ata
Processors
Supervisory
A
uthorities
Identified Identifiable
R
acial or
EthnicO
rigin
R
eligious or
Philosophical
B
eliefs
H
ealth
Trade U
nion
M
em
bership Sex
Life
Political
O
pinions
B
iom
etric
D
ata
G
enetic
D
ata
“R
ight not to be subject to a
decision basedsolely on
autom
atedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransm
itted,storedor
otherwise processed.”
C
ollection and processing of per sonal datam
ust
be for “specified,explicit and legitim
ate purposes”
– withconsent of datasubject or necessar y for
C
onsent m
ust be freely
given,specific,
infor m
ed,and
unam
biguous.
M
odel
C
ontractual
C
lauses
Privacy
Shield
B
inding
C
orporate
R
ules
(B
C
R
s)
A
dequate Level of
D
ataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
U
pto 20 m
illion euros or 4%of total annual worldwide
turnover . Less serious violations: U
pto 10m
illion
euros or 2%of total annual worldwide turnover.
EUEstablishm
ents
M
aintain adocum
ented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
D
esignate D
POif core
activity involves r egular
m
onitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
W
orkforce aw
areness trainingbyProf.D
aniel J.Solove
• perform
ance of a contr act
• com
pliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitim
ate inter ests
Effective Judicial R
em
edies:
com
pensation for m
ater ial and
non-m
aterial harm
.
Fines
Security
Please askperm
issionto reuse or distribute

VOUS DEVEZ
ÊTRE CAPABLE
DE
DÉMONTRER
QUE VOUS
ÊTES EN
RÈGLE PAR
RAPPORT AU
RGPD

PRINCIPALE TÂCHE
DO-CU-MEN-TA-TION

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

LE CONTEXTE
LÉGISLATIF BELGE











MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

AU FAIT
CONCRETEMENT
LE MARKETING
DIGITAL C’EST
QUOI ?

RECOMMANDATION
DE L’APD SUR LE
MARKETING DIRECT

BASE LÉGALE

AUDIT DES BASES DE DONNÉES EXISTANTES

VOUS AVEZ LA
PREUVE ?

D O U B L E
O P T- I N

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

COOKIES

COOKIE ???









https://www.autoriteprotectiondonnees.be/citoyen/themes/internet/cookies

https://www.autoriteprotectiondonnees.be/citoyen/themes/internet/cookies

BREAKING
NEWS

THIRD PARTY COOKIES

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

HISTORIQUE
 2015 première décision contre Safe
Harbour
 2016 Début du Privacy shield
 2020 Décision de la CJUE
 2020 plainte contre 101 sociétés
européennes (en Belgique Bpost, Roularta)
 Décision de l’EDPD de coordonner les
réponses des APD
 …

DÉCISION DE LA CJUE CONCERNANT LE PS
 La Cour a considéré que les exigences de la législation nationale des États-Unis, et
notamment certains programmes autorisant les organismes du secteur public
d'accéder à des données à caractère personnel transférées de l'UE vers les États-
Unis à des fins de sécurité nationale, entraînent des restrictions en matière de
protection des données à caractère personnel qui ne sont pas circonscrites de
manière à être conformes aux exigences substantiellement équivalentes aux
exigences requises en vertu du droit de l'Union , et que cette législation ne confère
aux personnes concernées aucun droit d'action devant les tribunaux contre les
autorités américaines.
 En conséquence d'un tel degré d'interférence avec les droits fondamentaux des
personnes dont les données sont transférées vers ce pays tiers,
la Cour a invalidé la décision d’adéquation du bouclier de protection des données.

LA MORT DU
MARKETING
DIGITAL ?

LA RÉACTION AMÉRICAINE

AVONS DU TEMPS?
Non

AVONS-NOUS DES
SOLUTIONS?









CLAUSES CONTRACTUELLES TYPES
 La Cour a conclu que le droit des États-Unis ne garantit pas un niveau de protection
substantiellement équivalent.
 La possibilité de transférer ou non des données à caractère personnel sur la base de
clauses contractuelles types dépendra du résultat de votre évaluation, en tenant compte
des circonstances des transferts, et des mesures supplémentaires que vous pourriez
mettre en place.
 Les mesures supplémentaires ainsi que les clauses contractuelles types émergeant
d'une analyse au cas par cas des circonstances relatives au transfert doivent assurer
que le droit des États-Unis n'affecte pas le niveau de protection adéquat qu'elles
garantissent.
 Si vous en arrivez à la conclusion que, compte tenu des circonstances du transfert et
des éventuelles mesures supplémentaires, les garanties appropriées ne seraient pas
garanties, vous êtes tenu de suspendre ou de mettre fin au transfert de données à
caractère personnel.
 Toutefois, si vous avez l'intention de continuer à transférer des données malgré cette
conclusion, vous devez en informer l'autorité de contrôle dont vous relevez .
 Source EDPB

D O N C
L E D R O I T A M É R I C A I N N E
G A R A N T I T PA S L E
N I V E A U D E S É C U R I T É
S U F F I S A N T
PA R C O N S É Q U E N T L E S
C L A U S E S T Y P E S N E
S O N T P L U S P O S S I B L E S
Vous pouvez essayer
en contactant
l’APD…

C O N S E N T E M E N T ? = > N O N
I L C O N V I E N T N O T A M M E N T D E
R A P P E L E R Q U E , L O R S Q U E L E S
T R A N S F E R T S S O N T F O N D É S S U R L E
C O N S E N T E M E N T D E L A P E R S O N N E
C O N C E R N É E , L E D I T C O N S E N T E M E N T
D O I T Ê T R E : E X P L I C I T E ,
S P É C I F I Q U E M E N T D O N N É P O U R L E
T R A N S F E R T O U L ’ E N S E M B L E D E
T R A N S F E R T S D E D O N N É E S E N
Q U E S T I O N ( C E Q U I S I G N I F I E Q U E
L ' E X P O R T A T E U R D E D O N N É E S D O I T
S ' A S S U R E R D ' O B T E N I R U N
C O N S E N T E M E N T S P É C I F I Q U E A V A N T L A
M I S E E N P L A C E D U T R A N S F E R T, M Ê M E
S I C E L A S E P R O D U I T A P R È S L A
C O L L E C T E D E S D O N N É E S ) , E T
É C L A I R É , E N P A R T I C U L I E R E N C E Q U I
C O N C E R N E L E S É V E N T U E L S R I S Q U E S
D U T R A N S F E R T

CRYPTOGRAPHIE ?

BINDING CORPORATE
RULES


INTÉRÊT
PUBLIC


ARTICLE 49







ALORS ON FAIT QUOI ?
QU’ALLEZ -VOUS FAIRE?

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

https://www.grow-force.com/ios-14-update-and-facebook-ads/

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

C R M : P R I VA C Y D ATA L I F E C Y C L E M A N A G E M E N T
https://www.superoffice.com/blog/gdpr-crm/

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

VOUS AVEZ DIT ANONYME? 😂

MENU
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

C O N C L U S I O N :
L E R G P D : U N E O P P O R T U N I T E
P O U R L E M A R K E T I N G D I G I TA L







VOUS AVEZ
DES
QUESTIONS ?
J’ESSAYERAI D’Y
RÉPONDRE