Intervention à l'occasion du salon pro Elearning Expo 2018 sur les impacts de la nouvelle règlementation européenne sur les activités de formation digitale
2. +
Du nouveau…
Consentement renforcé et transparence;
De nouveaux droits;
Des droits renforcés;
De nouvelles obligations.
3. +
Consentement renforcé et
transparence
Considérant 32 du Règlement européen
Le consentement devrait être donné par un acte positif clair par
lequel la personne concernée manifeste de façon libre,
spécifique, éclairée et univoque son accord au traitement des
données à caractère personnel la concernant, par exemple au
moyen d'une déclaration écrite, y compris par voie électronique,
ou d'une déclaration orale. Cela pourrait se faire notamment en
cochant une case lors de la consultation d'un site internet, en
optant pour certains paramètres techniques pour des
services de la société de l'information ou au moyen d'une autre
déclaration ou d'un autre comportement indiquant clairement dans
ce contexte que la personne concernée accepte le traitement
proposé de ses données à caractère personnel. Il ne saurait dès
lors y avoir de consentement en cas de silence, de cases
cochées par défaut ou d'inactivité.
4. +
Consentement renforcé et
transparence
Le contrat de service de formation en elearning;
Les missions de service public;
Le consentement « normal » ou « explicite ».
5. +
De nouveaux droits
Le droit à la portabilité des données;
Un droit à réparation des dommages matériel ou moral.
6. +
Le droit à la portabilité des données
Article 20 du Règlement européen
Les personnes concernées ont le droit de recevoir les données à caractère
personnel les concernant qu'elles ont fournies à un responsable du traitement,
dans un format structuré, couramment utilisé et lisible par machine, et
ont le droit de transmettre ces données à un autre responsable du
traitement sans que le responsable du traitement auquel les données à
caractère personnel ont été communiquées y fasse obstacle, lorsque:
a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe
1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de
l'article 6, paragraphe 1, point b); et
b) le traitement est effectué à l'aide de procédés automatisés.
Lorsque la personne concernée exerce son droit à la portabilité des données
en application du paragraphe 1, elle a le droit d'obtenir que les données à
caractère personnel soient transmises directement d'un responsable du
traitement à un autre, lorsque cela est techniquement possible.
7. +
Un droit à réparation des
dommages matériel ou moral.
Article 82
Toute personne ayant subi un dommage matériel ou moral du
fait d'une violation du présent règlement a le droit d'obtenir du
responsable du traitement ou du sous-traitant réparation du
préjudice subi.
8. +
Des droits renforcés
Droit d’accès;
Droit de rectification;
Droit à l'effacement («droit à l'oubli»);
Droit d'opposition;
Décision individuelle automatisée.
9. +
Droit d’accès
Article 15
La personne concernée a le droit d'obtenir du responsable du traitement la confirmation
que des données à caractère personnel la concernant sont ou ne sont pas traitées et,
lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les
informations suivantes:
a) les finalités du traitement;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou catégories de destinataires auxquels les données à caractère
personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis
dans des pays tiers ou les organisations internationales;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel
envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
e) l'existence du droit de demander au responsable du traitement la rectification ou
l'effacement de données à caractère personnel, ou une limitation du traitement des données
à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce
traitement;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne
concernée, toute information disponible quant à leur source;
h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article
22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la
logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement
pour la personne concernée.
10. +
Droit de rectification
Article 16
La personne concernée a le droit d'obtenir du responsable du
traitement, dans les meilleurs délais, la rectification des
données à caractère personnel la concernant qui sont
inexactes. Compte tenu des finalités du traitement, la personne
concernée a le droit d'obtenir que les données à caractère
personnel incomplètes soient complétées, y compris en
fournissant une déclaration complémentaire.
11. +
Droit à l'effacement («droit à
l'oubli»)
Article 17
La personne concernée a le droit d'obtenir du responsable du traitement
l'effacement, dans les meilleurs délais, de données à caractère personnel la
concernant et le responsable du traitement a l'obligation d'effacer ces
données à caractère personnel dans les meilleurs délais, lorsque l'un des
motifs suivants s'applique:
a) les données à caractère personnel ne sont plus nécessaires au regard des
finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement,
conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point
a), et il n'existe pas d'autre fondement juridique au traitement;
c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe
1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne
concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;
d) les données à caractère personnel ont fait l'objet d'un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une
obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre
auquel le responsable du traitement est soumis;
(…)
12. +
Droit d'opposition
Article 21
La personne concernée a le droit de s'opposer à tout moment,
pour des raisons tenant à sa situation particulière, à un
traitement des données à caractère personnel la concernant
13. +
Décision individuelle automatisée
Article 22
La personne concernée a le droit de ne pas faire l'objet d'une
décision fondée exclusivement sur un traitement automatisé, y
compris le profilage, produisant des effets juridiques la concernant
ou l'affectant de manière significative de façon similaire.
Le paragraphe 1 ne s'applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre
la personne concernée et un responsable du traitement;
b) est autorisée par le droit de l'Union ou le droit de l'État membre
auquel le responsable du traitement est soumis et qui prévoit également
des mesures appropriées pour la sauvegarde des droits et libertés et
des intérêts légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
14. +
De nouvelles obligations
La protection des données dès la conception et par défaut
(privacy by design);
Un allègement des formalités administratives et une
responsabilisation des acteurs;
Une responsabilité partagée entre le responsable et le sous-
traitant;
Des sanctions encadrées, graduées et renforcées.
15. +
La protection des données dès la
conception et par défaut (privacy by
design)
Les responsables de traitements devront mettre en œuvre
toutes les mesures techniques et organisationnelles
nécessaires au respect de la protection des données
personnelles, à la fois dès la conception du produit ou du
service et par défaut. Concrètement, ils devront veiller à
limiter la quantité de données traitée dès le départ (principe
dit de « minimisation »). (source CNIL)
16. +
Un allègement des formalités
administratives et une
responsabilisation des acteurs
la tenue d’un registre des traitements mis en œuvre
la notification de failles de sécurité (aux autorités et personnes
concernées)
la certification de traitements
l’adhésion à des codes de conduites
le DPO (délégué à la protection des données)
les études d’impact sur la vie privée (EIVP)
17. +
Une responsabilité partagée entre le
responsable et le sous-traitant
Article 28
Lorsqu'un traitement doit être effectué pour le compte d'un
responsable du traitement, celui-ci fait uniquement appel à
des sous-traitants qui présentent des garanties suffisantes
quant à la mise en œuvre de mesures techniques et
organisationnelles appropriées de manière à ce que le
traitement réponde aux exigences du présent règlement et
garantisse la protection des droits de la personne concernée.
18. +
Des sanctions encadrées, graduées
et renforcées
Les autorités de protection peuvent notamment :
Prononcer un avertissement ;
Mettre en demeure l’entreprise ;
Limiter temporairement ou définitivement un traitement ;
Suspendre les flux de données ;
Ordonner de satisfaire aux demandes d'exercice des droits des
personnes ;
Ordonner la rectification, la limitation ou l'effacement des données.
Amendes administratives : de 10 ou 20 millions d’euros, ou, dans
le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires
annuel mondial, le montant le plus élevé étant retenu.
Plus de distinction entre les données pro et perso
Il s’agit du consentement explicite autonome ou dans le cadre d’un contrat. Un contrat de formation signé avec l’individu emporte son consentement mais pas le cas du contrat signé entre la personne morale employeur et le prestataire
Il s’agit du consentement explicite autonome ou dans le cadre d’un contrat. Un contrat de formation signé avec l’individu emporte son consentement mais pas le cas du contrat signé entre la personne morale employeur et le prestataire
Le cas du profilage : c’est principalement le consentement,
Ici la prise de décision automatisée est par exemple l’obtention d’un certificat ou de toute attestation en fonction des résultats à des tests avec traitement automatisé
La justification antérieure était « des raisons légitimes » aujourd’hui il s’agit de toutes raisons tenant à sa situation (?) C’est extrêmement large a priori