Découvrir le RGPD de façon pragmatique
•Télécharger en tant que PPTX, PDF•
0 j'aime•200 vues
Présentation du RGDP chez Lee Hecht Harrison lors de l'event "Meet the Expert".
Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à Découvrir le RGPD de façon pragmatique
Similaire à Découvrir le RGPD de façon pragmatique (20)
Découvrir le RGPD de façon pragmatique
- 1. Inspire People, Communities & Cultures Découvrir le RGPD de façon pragmatique Nicolas Wipfli Envision, Share & Incarnate collaboratively & collectively to keep inspiring and renewing models
- 2. Mais de quoi parle t’on ? GDPR • General Data Protection Regulation RGPD • Règlement Général sur la Protection des Données 1
- 3. Mais alors, c’est quoi ? Règlement Européen Règlement sur la protection des données personnelles 99 articles Règlement vs directive Précédente directive de 1995 Quand ? En vigueur depuis le 25 mai 2018 2
- 4. Quelques définitions Données à caractère personnel Traitement Pseudonymisation Responsable du traitement Sous-traitant Délégué à la protection des données 3
- 5. Dans quels buts ? Harmonisation Nouvelles réalités du numérique Renforcer les droits fondamentaux Consentement Portabilité Dispositions propres aux personnes mineures Meilleure transparence Climat de confiance entre individus et sociétés Responsabiliser les entreprises 4
- 6. Les 6 principes ? (art. 5) Licéité, loyauté et transparence Renforcement du consentement Limitation des finalités Quelles données et dans quel but ? Minimisation des données Avez-vous besoins de toutes les données ? Exactitude Limitation de la conservation Intégrité et confidentialité 5
- 7. Plus de droits pour VOS données ! 6
- 8. Droit à l’information (art. 13-14) Accès direct aux données personnelles (art. 13) Coordonnées du délégué à la protection des donneés (DPO) ou responsable du traitement Finalités du traitement Durée de conservation Tiers ayant accès Existence d’une prise de décision automatisée ou d’un profilage Accès indirect aux données personnelles (art. 14) Source des données Délai 1 mois Sécurité des données compromise 72 heures 7 Source: CNIL
- 9. Droit d'accès de la personne concernée (art. 15) Format compréhensible Renseignement sur: Finalité Catégorie de données Durée de conservation Possibilité de saisir autorité compétente Source des données Eventuelle prise de décision automatique 8 Source: CNIL
- 10. Droit de rectification (art. 16 & 19) Rectifier des données Compléter des données 9 Source: CNIL
- 11. Droit à l’effacement (art. 17) Effacement Plus nécessaires Consentement retiré Opposé au traitement Traitement illicite Obligation légale 10 Source: CNIL
- 12. Droit à la limitation du traitement (art. 18) Nouveau droit Geler l’utilisation des données Exactitude des données contestée Traitement illicite Opposition au traitement, et en attente de vérification 11 Source: CNIL
- 13. Droit à la portabilité (art. 20) Nouveau droit Maîtriser vos données Pour un usage strictement personnel Pour les transmettre à un autre service en ligne Pour changer de plateforme tout en conservant votre « historique » 12 Source: CNIL
- 14. Droit d’opposition (art. 21) Exemples: Emails publicitaires Annuaire du téléphone Limites: Retirer le consentement Contrat avec le responsable des données Obligation légale Sauvegarde des intérêts vitaux 13 Source: CNIL
- 15. Décision individuelle automatisée, y compris le profilage (art. 22) al. 1 “La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.” 14
- 16. Consentement des mineurs (art. 8) Age légal de 16 ans Pouvant descendre à 13 ans 15 Source: CNIL
- 17. Obligations des entreprises Renforcer les règles de consentement Consentement obligatoire (sauf quelques exceptions) avant le traitement des données Possibilité de retirer le consentement à tout moment (art. 7.3) Possibilité de prouver le consentement Se responsabiliser Délégué à la protection des données (ou DPO en anglais) Registre des traitements (art. 30) “Privacy by Design” et “Privacy by Default” Minimisation des données Notifications en cas de fuite (72 heures) (art. 33) Renforcement des mesures de sécurité Chiffrement des données (art. 32) Pseudonymisation des données (art. 32) 16 Source: CNIL
- 18. 6 bons réflexes Ne collectez que les données vraiment nécessaires Quel est mon objectif ? Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ? Est-ce pertinent ? Les personnes concernées sont-elles d’accord ? Soyez transparent Pensez aux droits des personnes Gardez la maîtrise de vos données Identifiez les risques Sécurisez vos données 17 Source: CNIL
- 19. 18 Quelles sanctions ? Sanctions financières: Option A: 2% du C. A. mondial ou 10 millions d’Euro Option B: 4% du C. A. mondial ou 20 millions d’Euro En fonction des infractions.
- 20. 19 Et mon entreprise en Suisse ?
- 21. 20 Les conséquences ? Changements majeurs Tous les services concernés Projet au niveau de la direction Recensement des données Minimisation des données Contrats avec fournisseurs « Privacy by design » Nouvelles procédure: Consentement Droits des personnes Registres de traitement Procédure de notifications
- 22. 21 1. Si nécessaire, désigner un DPO ou Délégué à la Protecion des Données. 2. Cartographier les traitements de données personnelles. 3. Prioriser les actions. 4. Nécessité d’un DPIA (Data Protection Impact Assessment) ou Analyse d'impact relative à la protection des données ? 5. Organiser les processus internes. Et maintenant, que dois-je faire ?
- 23. 22 Quelques resources Préposé fédéral à la protection des données et à la transparence (PFPDT) https://www.edoeb.admin.ch/edoeb/fr/home.html Règlement RGPD https://gdpr.algolia.com/fr/ Commission Nationale de l'Informatique et des Libertés (CNIL) https://www.cnil.fr/ Découvrir la protection des données (Fédération des Entreprises Romandes – GE) http://medias.fer-ge.ch/FER/rgpd/#/?_k=pamktf 6 étapes recommandées par la CNIL https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes Première plainte sous le RGPD http://www.ictjournal.ch/articles/2018-05-25/rgpd-premier-jour-premieres-plaintes-contre-facebook- et-google
- 24. MERCI DE VOTRE ATTENTION QUESTIONS/REPONS ES Pour suivre l’actualité, rejoignez notre platforme www.fondation-aaa.org 23© Photos de la CNIL et Fondation aaa
Notes de l'éditeur
- D’accord, vous allez certainement me dire « Oui, mais qu’est-ce que c’est ? » 1. C’est le nouveau règlement Européen concernant la protection des données personnelles. «Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement» 2. Ce règlement remplace la précédente directive de 1995. 3. Alors que la directive donnait un cadre demandant ensuite aux Etats Membres de construire leurs lois en fonction de ce cadre, le règlement contient déjà les lois qui doivent être reprises (avec quelques souplesses mais nous ne couvrions pas cela aujourd’hui) par chacun des Etats Membres. 4. En vigueur depuis le 25 mai 2018.
- Données personelles Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Traitement Opération, ou ensemble d'opérations, portant sur des données personnelles. (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement) Responsible du traitement La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Sous-traitant La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
- Un cadre juridique unifié pour l’ensemble de l’UE. Le monde numérique a considérablement changé. Afin de renforcer les droits des personnes. Améliorer la protection des libertés et leur donner plus de pouvoir concernant les données qu’ils transmettent aux entreprises. Ceci passe par une demande sans ambiguïté du consentement, la possibilité de porter les données entres fournisseurs ou une meilleure disposition concernant les mineurs. Afin de renforcer la transparence de la part des entreprises envers les individus lorsqu’elles traitent des données personnelles. Meilleure transparence sur ce que fait la société avec vos données personnelles. Afin d’instaurer un climat de confiance entre les individus et les entreprises. Il faut aussi voir cette régulation comme un avantage pour les entreprises car en étant conforme, cela donne une meilleure image auprès des clients. Afin de responsabiliser les entreprises lors de l’utilisation des données personnelles. Elles doivent avoir des mesures de contrôle, savoir où se trouvent les données et comment elles sont utilisées.
- Licéité, Loyauté et transparence: Les données devront être traitées de manière licite (avec consentement, exécution d’un contrat – obligation légale du responsable du traitement – intérêts vitaux de la personne concernée – mission d’intérêt publique), loyale et transparente au regard de la personne concernée. Pour cela le consentement est renforcé. Limitation des finalités: Ne pourra pas être traitées ultérieurement d'une manière incompatible avec le but initial. Sauf: - à des fins archivistiques dans l'intérêt public - à des fins de recherche scientifique ou historique - à des fins statistiques Vous pouvez vous demander quelles données vous possédez et dans quel but vous les utilisez. Minimisation des données: Les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Plus vous avez de données et plus vous augmentez les risques en cas de fuites, d’attaques ou de pertes. Exactitude: Vous devez tout mettre en œuvre pour effacer ou corriger l’exactitude les données. Limitation de la conservation: Des mécanismes de rétention automatique doivent être mis en oeuvre. Intégrité et confidentialité: Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées
- Droit d’accès: déjà existant dans la précédente directive (article 12) Droit de savoir si un responsable du traitement traite ou non les données. Si c’est oui, il est possible pour le client de demander gratuitement les informations telles que le but, les catégories de données, à qui les données ont été communiquées, combien de temps sont-elles stockées, une copie des données, etc…
- Droit de rectification: déjà existant dans la précédente directive (article 12) La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.
- Droit à l’effacement: clairement marqué et renforcé dans la RGPD La personne peut demander l’effacement des données si le traitement est illicite, les données ne sont plus nécessaires, la personne retire le consentement, pour respecter une obligation légale, etc… Il y a des exceptions telles que les obligations légales, intérêts publiques, santé, etc…
- Droit à la limitation: nouveauté dans la RGPD La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique: a) l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel; b) le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation; c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice; d) la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
- Droit à la portabilité: nouveau dans la RGPD « Les personnes physiques devraient avoir le contrôle des données les concernant » C’est le droit gratuit pour tout utilisateur d’un service en ligne à récupérer ses données via une fonctionnalité unique (une API) pour les transférer à un autre prestataire.
- Droit d’opposition: La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant.
- Décision individuelle automatisée: La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
- Consentement des mineurs: Consentement des parents nécessaires pour les enfants de moins de 16 ans. Attention, cette limite peut être revue à la baisse par les états membres mais pas en dessous de 13 ans.
- Il y a un renforcement des règles de consentement: Obtenir le consentement avant le traitement. Il doit être donnée librement, séparé et clair, compréhensible et aisément accessible, par une déclaration ou action claire (opt-in), avec des termes clairs et simples. Il y a des exceptions: Lors de l’exécution d’un contrat liant les deux parties. Lorsque le contrôleur a une obligation légale. Lors de la sauvegarde des intérêts vitaux de la personne. Lors d’une mission d’intérêt publique. Possibilité de retirer son consentement aussi simplement que de le donner. Obligation de l’entreprise de prouver le consentement. Les entreprises devront être plus responsable des données qu’elles possèdent et qu’elles traitent: Dans certains cas un DPO sera nécessaire Traitement par une autorité publique ou un organisme public Opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes Traitement à grande échelle de données sensibles ou pénales Il est toutefois recommandé d’avoir une personne responsable des données, même si ce n’est pas un DPO. Nécessiter de posséder un registre des traitements. (Obligation si plus de 250 employés, ou si moins de 250 mais il y a des données spéciales ou lors de traitements systématiques ou avec des risques importants pour les droits ou les libertés des individus) Avoir par exemple une coche que le sujet devra clairement sélectionner. Terminé les cases déjà cochées d’avance. Minimisation des données. A savoir que uniquement le stricte nécessaire pourra être collecté par les entreprises. C’est terminé de demander votre adresse privée pour du simple marketing par email. Procédure de notification vraiment claires en cas de fuite: (types de risques: confidentialité, intégrité, disponibilité) Informer le Délégué à la protection des données sous les 72 heures en cas de risques pour les individus. (lors de risques matériels ou non, physique) Informer les personnes en relation avec les données si la fuite présente un haut risque. (divulgation d’adresses de personnes en comparaison à des adresses de parents adoptifs envers les parents génétiques) Mesures de sécurité, par exemple pour l’intégrité et la confidentialité: Cryptage des données. Rendre les données anonymes. Pas nécessairement possible pour tous les cas de figure. Pseudonymiser les données. Ceci dépendra des besoins des données. Effet sur la rapidité de traitement.
- - Bien sûr cela dépendra des infractions, si vous pouvez prouver avoir tout mis en œuvre afin de limiter les risques, de votre coopération avec le préposé à la protection des données.
- - Cette réglementation concerne toutes les sociétés, établissements publiques, association, etc… traîtant des données de citoyens ou résidents de l’EU lorsqu’elles offres des biens ou des services à des résidents de l’EU ou démontrant une intention claire de la faire. Des conseillers juridiques sont peut-être nécessaire pour déterminer cela. Ne pas non plus oublier que la nouvelle Loi Suisse sur la Protection des Données est en cours de révision afin de suivre en grande partie cette réglementation mais pour les citoyens Suisses. - Ceci vous concerne aussi si vous effectuez volontairement (voir avec des conseillers juridiques) du monitoring de comportement (ie: au travers de site internet) de citoyens ou résidents de l’EU et sur le sol de l’EU. Les GAFA sont aussi concernées. Le traitement concerne la collecte, le stockage, la modification, la consultation à distance, la destruction, etc… Une donnée personnelle concerne toute information identifiant directement ou indirectement une personne physique.
- Ceci entraine un changement majeur. Tous les services sont concernés. HR, marketing, développement, sales, … La direction doit être impliquée. Cela doit venir du haut. Sans soutien de la direction, il n’est pas possible de mettre la société en conformité. Une recensement des données doit être fait. Uniquement le stricte nécessaire devra être collecté. Passer d’une approche quantitative à une approche qualitative. Revoir les contrats avec les fournisseurs. Il faudra inclure les fondamentaux de la GDPR dès le début de conception d’un produit. De nouvelles procédures seront nécessaires: Comme pour le consentement. Comme pour donner les droits aux sujets: Droit d’être informé Droit d’accès aux données Droit aux modifications Droit d’être oublié (dans certaines conditions) Droit au transfert des données Droit de demander une restriction au traitement des données Droit de demande à ne pas utiliser les données pour tout traitement Tenir un registre des traitements. Procédures de notification en cas de fuites.
- Déterminer si un DPO est nécessaire (art. 37.1). Obligatoire pour les situations suivantes: - Traitement par une autorité publique ou un organisme public. - Opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes. - Traitement à grande échelle de données sensibles ou pénales. Identifier les données en votre possession, le lieu de stockage, ce que vous en faites, comment vous les avez obtenues, … Un DPIA est nécessaire dans les situations suivantes: - l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire - le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 - la surveillance systématique à grande échelle d'une zone accessible au public Il est toutefois recommandé de faire un DPIA même hors de ces situations.