Intervention CNIL : droit des internautes et obligations des e-marchands
Découvrir le RGPD de façon pragmatique
1. Inspire People, Communities &
Cultures
Découvrir le RGPD de façon
pragmatique
Nicolas Wipfli
Envision, Share & Incarnate collaboratively & collectively to keep
inspiring and renewing models
2. Mais de quoi parle t’on ?
GDPR
• General Data Protection Regulation
RGPD
• Règlement Général sur la Protection
des Données
1
3. Mais alors, c’est quoi ?
Règlement Européen
Règlement sur la protection des données personnelles
99 articles
Règlement vs directive
Précédente directive de 1995
Quand ?
En vigueur depuis le 25 mai 2018
2
4. Quelques définitions
Données à caractère personnel
Traitement
Pseudonymisation
Responsable du traitement
Sous-traitant
Délégué à la protection des données
3
5. Dans quels buts ?
Harmonisation
Nouvelles réalités du numérique
Renforcer les droits fondamentaux
Consentement
Portabilité
Dispositions propres aux personnes mineures
Meilleure transparence
Climat de confiance entre individus et sociétés
Responsabiliser les entreprises
4
6. Les 6 principes ? (art. 5)
Licéité, loyauté et transparence
Renforcement du consentement
Limitation des finalités
Quelles données et dans quel but ?
Minimisation des données
Avez-vous besoins de toutes les données ?
Exactitude
Limitation de la conservation
Intégrité et confidentialité
5
8. Droit à l’information (art. 13-14)
Accès direct aux données personnelles (art. 13)
Coordonnées du délégué à la protection des donneés
(DPO) ou responsable du traitement
Finalités du traitement
Durée de conservation
Tiers ayant accès
Existence d’une prise de décision automatisée ou d’un
profilage
Accès indirect aux données personnelles (art. 14)
Source des données
Délai 1 mois
Sécurité des données compromise
72 heures
7
Source: CNIL
9. Droit d'accès de la personne concernée
(art. 15)
Format compréhensible
Renseignement sur:
Finalité
Catégorie de données
Durée de conservation
Possibilité de saisir autorité compétente
Source des données
Eventuelle prise de décision automatique
8
Source: CNIL
10. Droit de rectification (art. 16 & 19)
Rectifier des données
Compléter des données
9
Source: CNIL
11. Droit à l’effacement (art. 17)
Effacement
Plus nécessaires
Consentement retiré
Opposé au traitement
Traitement illicite
Obligation légale
10
Source: CNIL
12. Droit à la limitation du traitement (art. 18)
Nouveau droit
Geler l’utilisation des données
Exactitude des données contestée
Traitement illicite
Opposition au traitement, et en attente de vérification
11
Source: CNIL
13. Droit à la portabilité (art. 20)
Nouveau droit
Maîtriser vos données
Pour un usage strictement personnel
Pour les transmettre à un autre service en ligne
Pour changer de plateforme tout en conservant votre «
historique »
12
Source: CNIL
14. Droit d’opposition (art. 21)
Exemples:
Emails publicitaires
Annuaire du téléphone
Limites:
Retirer le consentement
Contrat avec le responsable des données
Obligation légale
Sauvegarde des intérêts vitaux
13
Source: CNIL
15. Décision individuelle automatisée, y compris
le profilage (art. 22)
al. 1
“La personne concernée a le droit de ne pas faire
l'objet d'une décision fondée exclusivement sur un
traitement automatisé, y compris le profilage,
produisant des effets juridiques la concernant ou
l'affectant de manière significative de façon
similaire.”
14
16. Consentement des mineurs (art. 8)
Age légal de 16 ans
Pouvant descendre à 13 ans
15
Source: CNIL
17. Obligations des entreprises
Renforcer les règles de consentement
Consentement obligatoire (sauf quelques exceptions)
avant le traitement des données
Possibilité de retirer le consentement à tout moment (art.
7.3)
Possibilité de prouver le consentement
Se responsabiliser
Délégué à la protection des données (ou DPO en anglais)
Registre des traitements (art. 30)
“Privacy by Design” et “Privacy by Default”
Minimisation des données
Notifications en cas de fuite (72 heures) (art. 33)
Renforcement des mesures de sécurité
Chiffrement des données (art. 32)
Pseudonymisation des données (art. 32)
16
Source: CNIL
18. 6 bons réflexes
Ne collectez que les données vraiment nécessaires
Quel est mon objectif ?
Quelles données sont indispensables pour atteindre cet
objectif ?
Ai-je le droit de collecter ces données ?
Est-ce pertinent ?
Les personnes concernées sont-elles d’accord ?
Soyez transparent
Pensez aux droits des personnes
Gardez la maîtrise de vos données
Identifiez les risques
Sécurisez vos données
17
Source: CNIL
19. 18
Quelles sanctions ?
Sanctions financières:
Option A:
2% du C. A. mondial ou 10 millions d’Euro
Option B:
4% du C. A. mondial ou 20 millions d’Euro
En fonction des infractions.
21. 20
Les conséquences ?
Changements majeurs
Tous les services concernés
Projet au niveau de la
direction
Recensement des données
Minimisation des données
Contrats avec fournisseurs
« Privacy by design »
Nouvelles procédure:
Consentement
Droits des personnes
Registres de traitement
Procédure de notifications
22. 21
1. Si nécessaire, désigner un DPO ou
Délégué à la Protecion des Données.
2. Cartographier les traitements de données
personnelles.
3. Prioriser les actions.
4. Nécessité d’un DPIA (Data Protection
Impact Assessment) ou Analyse d'impact
relative à la protection des données ?
5. Organiser les processus internes.
Et maintenant, que dois-je faire ?
23. 22
Quelques resources
Préposé fédéral à la protection des données et à la transparence (PFPDT)
https://www.edoeb.admin.ch/edoeb/fr/home.html
Règlement RGPD
https://gdpr.algolia.com/fr/
Commission Nationale de l'Informatique et des Libertés (CNIL)
https://www.cnil.fr/
Découvrir la protection des données (Fédération des Entreprises Romandes – GE)
http://medias.fer-ge.ch/FER/rgpd/#/?_k=pamktf
6 étapes recommandées par la CNIL
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Première plainte sous le RGPD
http://www.ictjournal.ch/articles/2018-05-25/rgpd-premier-jour-premieres-plaintes-contre-facebook-
et-google
D’accord, vous allez certainement me dire « Oui, mais qu’est-ce que c’est ? »
1. C’est le nouveau règlement Européen concernant la protection des données personnelles.«Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement»
2. Ce règlement remplace la précédente directive de 1995.
3. Alors que la directive donnait un cadre demandant ensuite aux Etats Membres de construire leurs lois en fonction de ce cadre, le règlement contient déjà les lois qui doivent être reprises (avec quelques souplesses mais nous ne couvrions pas cela aujourd’hui) par chacun des Etats Membres.
4. En vigueur depuis le 25 mai 2018.
Données personelles
Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
Traitement
Opération, ou ensemble d'opérations, portant sur des données personnelles. (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement)
Responsible du traitement
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Sous-traitant
La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Un cadre juridique unifié pour l’ensemble de l’UE.
Le monde numérique a considérablement changé.
Afin de renforcer les droits des personnes. Améliorer la protection des libertés et leur donner plus de pouvoir concernant les données qu’ils transmettent aux entreprises.Ceci passe par une demande sans ambiguïté du consentement, la possibilité de porter les données entres fournisseurs ou une meilleure disposition concernant les mineurs.
Afin de renforcer la transparence de la part des entreprises envers les individus lorsqu’elles traitent des données personnelles.
Meilleure transparence sur ce que fait la société avec vos données personnelles.
Afin d’instaurer un climat de confiance entre les individus et les entreprises. Il faut aussi voir cette régulation comme un avantage pour les entreprises car en étant conforme, cela donne une meilleure image auprès des clients.
Afin de responsabiliser les entreprises lors de l’utilisation des données personnelles. Elles doivent avoir des mesures de contrôle, savoir où se trouvent les données et comment elles sont utilisées.
Licéité, Loyauté et transparence: Les données devront être traitées de manière licite (avec consentement, exécution d’un contrat – obligation légale du responsable du traitement – intérêts vitaux de la personne concernée – mission d’intérêt publique), loyale et transparente au regard de la personne concernée. Pour cela le consentement est renforcé.
Limitation des finalités: Ne pourra pas être traitées ultérieurement d'une manière incompatible avec le but initial. Sauf:- à des fins archivistiques dans l'intérêt public- à des fins de recherche scientifique ou historique- à des fins statistiquesVous pouvez vous demander quelles données vous possédez et dans quel but vous les utilisez.
Minimisation des données: Les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.Plus vous avez de données et plus vous augmentez les risques en cas de fuites, d’attaques ou de pertes.
Exactitude: Vous devez tout mettre en œuvre pour effacer ou corriger l’exactitude les données.
Limitation de la conservation: Des mécanismes de rétention automatique doivent être mis en oeuvre.
Intégrité et confidentialité: Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées
Droit d’accès: déjà existant dans la précédente directive (article 12)
Droit de savoir si un responsable du traitement traite ou non les données. Si c’est oui, il est possible pour le client de demander gratuitement les informations telles que le but, les catégories de données, à qui les données ont été communiquées, combien de temps sont-elles stockées, une copie des données, etc…
Droit de rectification: déjà existant dans la précédente directive (article 12)
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.
Droit à l’effacement: clairement marqué et renforcé dans la RGPD
La personne peut demander l’effacement des données si le traitement est illicite, les données ne sont plus nécessaires, la personne retire le consentement, pour respecter une obligation légale, etc…
Il y a des exceptions telles que les obligations légales, intérêts publiques, santé, etc…
Droit à la limitation: nouveauté dans la RGPD
La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique:
a) l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel;
b) le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;
c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice;
d) la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
Droit à la portabilité: nouveau dans la RGPD
« Les personnes physiques devraient avoir le contrôle des données les concernant »
C’est le droit gratuit pour tout utilisateur d’un service en ligne à récupérer ses données via une fonctionnalité unique (une API) pour les transférer à un autre prestataire.
Droit d’opposition:
La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant.
Décision individuelle automatisée:
La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Consentement des mineurs:
Consentement des parents nécessaires pour les enfants de moins de 16 ans. Attention, cette limite peut être revue à la baisse par les états membres mais pas en dessous de 13 ans.
Il y a un renforcement des règles de consentement:
Obtenir le consentement avant le traitement. Il doit être donnée librement, séparé et clair, compréhensible et aisément accessible, par une déclaration ou action claire (opt-in), avec des termes clairs et simples.Il y a des exceptions:
Lors de l’exécution d’un contrat liant les deux parties.
Lorsque le contrôleur a une obligation légale.
Lors de la sauvegarde des intérêts vitaux de la personne.
Lors d’une mission d’intérêt publique.
Possibilité de retirer son consentement aussi simplement que de le donner.
Obligation de l’entreprise de prouver le consentement.
Les entreprises devront être plus responsable des données qu’elles possèdent et qu’elles traitent:
Dans certains cas un DPO sera nécessaire
Traitement par une autorité publique ou un organisme public
Opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes
Traitement à grande échelle de données sensibles ou pénalesIl est toutefois recommandé d’avoir une personne responsable des données, même si ce n’est pas un DPO.
Nécessiter de posséder un registre des traitements. (Obligation si plus de 250 employés, ou si moins de 250 mais il y a des données spéciales ou lors de traitements systématiques ou avec des risques importants pour les droits ou les libertés des individus)
Avoir par exemple une coche que le sujet devra clairement sélectionner. Terminé les cases déjà cochées d’avance.
Minimisation des données. A savoir que uniquement le stricte nécessaire pourra être collecté par les entreprises. C’est terminé de demander votre adresse privée pour du simple marketing par email.
Procédure de notification vraiment claires en cas de fuite: (types de risques: confidentialité, intégrité, disponibilité)
Informer le Délégué à la protection des données sous les 72 heures en cas de risques pour les individus. (lors de risques matériels ou non, physique)
Informer les personnes en relation avec les données si la fuite présente un haut risque. (divulgation d’adresses de personnes en comparaison à des adresses de parents adoptifs envers les parents génétiques)
Mesures de sécurité, par exemple pour l’intégrité et la confidentialité:
Cryptage des données.
Rendre les données anonymes.
Pas nécessairement possible pour tous les cas de figure.
Pseudonymiser les données.
Ceci dépendra des besoins des données. Effet sur la rapidité de traitement.
- Bien sûr cela dépendra des infractions, si vous pouvez prouver avoir tout mis en œuvre afin de limiter les risques, de votre coopération avec le préposé à la protection des données.
- Cette réglementation concerne toutes les sociétés, établissements publiques, association, etc… traîtant des données de citoyens ou résidents de l’EU lorsqu’elles offres des biens ou des services à des résidents de l’EU ou démontrant une intention claire de la faire. Des conseillers juridiques sont peut-être nécessaire pour déterminer cela.Ne pas non plus oublier que la nouvelle Loi Suisse sur la Protection des Données est en cours de révision afin de suivre en grande partie cette réglementation mais pour les citoyens Suisses.
- Ceci vous concerne aussi si vous effectuez volontairement (voir avec des conseillers juridiques) du monitoring de comportement (ie: au travers de site internet) de citoyens ou résidents de l’EU et sur le sol de l’EU.
Les GAFA sont aussi concernées.
Le traitement concerne la collecte, le stockage, la modification, la consultation à distance, la destruction, etc…
Une donnée personnelle concerne toute information identifiant directement ou indirectement une personne physique.
Ceci entraine un changement majeur.
Tous les services sont concernés. HR, marketing, développement, sales, …
La direction doit être impliquée. Cela doit venir du haut. Sans soutien de la direction, il n’est pas possible de mettre la société en conformité.
Une recensement des données doit être fait.
Uniquement le stricte nécessaire devra être collecté. Passer d’une approche quantitative à une approche qualitative.
Revoir les contrats avec les fournisseurs.
Il faudra inclure les fondamentaux de la GDPR dès le début de conception d’un produit.
De nouvelles procédures seront nécessaires:
Comme pour le consentement.
Comme pour donner les droits aux sujets:
Droit d’être informé
Droit d’accès aux données
Droit aux modifications
Droit d’être oublié (dans certaines conditions)
Droit au transfert des données
Droit de demander une restriction au traitement des données
Droit de demande à ne pas utiliser les données pour tout traitement
Tenir un registre des traitements.
Procédures de notification en cas de fuites.
Déterminer si un DPO est nécessaire (art. 37.1). Obligatoire pour les situations suivantes:- Traitement par une autorité publique ou un organisme public.- Opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes.- Traitement à grande échelle de données sensibles ou pénales.
Identifier les données en votre possession, le lieu de stockage, ce que vous en faites, comment vous les avez obtenues, …
Un DPIA est nécessaire dans les situations suivantes:- l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire- le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10- la surveillance systématique à grande échelle d'une zone accessible au publicIl est toutefois recommandé de faire un DPIA même hors de ces situations.