Protection des données à caractère personnel
Maître Marion Depadt-Bels – Mardi 8 novembre 2016
LA PROTECTION DES DONNEES A
CARACTERE PERSONNEL
- ce qui va changer
- comment s’y préparer
Marion DEPADT BELS
SOMMAIRE
1 - LE CADRE LÉGAL
2 - CE QUI VA CHANGER
3 - FOCUS SUR :
REGISTRE ET DELEGUE A LA PROTECTION DES DONNEES
PRIVACY ...
1 – LE CADRE LÉGAL1 - LE CADRE LÉGAL
4
De 1978 à 2018
Ø La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés
ž Texte fondate...
1 – LE CADRE LÉGAL2 – CE QUI VA CHANGER
6
Le principe de responsabilisation « accountability »
Un champ d’application géographique étendu
Une gestion des flux trans...
1 – LE CADRE LÉGAL3 – FOCUS SUR LES NOUVELLES
OBLIGATIONS
8
9
Entreprise de moins
de 250 salariés
Traitements susceptibles de comporter un risque
pour les personnes ou qui portent su...
Ø Le Règlement institue un principe de protection des données dès la
conception et de protection des données par défaut («...
Ø Le Règlement met à la charge du responsable de traitement une obligation de
notification des violations de données : « L...
u Le responsable de traitement doit s’assurer que le sous-traitant auquel il
confie des traitements concernant, au moins p...
u Le contrat entre le responsable de traitement et son sous-traitant doit préciser que le
prestataire :
u ne traite les do...
4 - COMMENT SE PREPARER ?
14
žIdentifier les traitements de données existants
- Cartographie des flux/données/mesures mises en place
- Plan de mise en ...
žPrendre en compte et implémenter les principes de privacy by design
and by default
- Ces principes doivent être pris en c...
žCompléter vos contrats de service
- Pour les contrats ayant vocation à perdurer au-delà de mai 2018
- A défaut les risque...
žIdentifier rapidement si vous allez devoir désigner un délégué à la
protection des données à caractère personnel
- Analys...
MERCI POUR VOTRE ATTENTION
19
Prochain SlideShare
Chargement dans…5
×

Gestion des données personnelles : comprendre vos nouvelles obligations

361 vues

Publié le

Présentation effectuée par M. Depadt-Bels lors de notre Happy Hour du 8 novembre 2016 sur la gestion des données personnelles.

Publié dans : Données & analyses
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
361
Sur SlideShare
0
Issues des intégrations
0
Intégrations
139
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gestion des données personnelles : comprendre vos nouvelles obligations

  1. 1. Protection des données à caractère personnel Maître Marion Depadt-Bels – Mardi 8 novembre 2016
  2. 2. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL - ce qui va changer - comment s’y préparer Marion DEPADT BELS
  3. 3. SOMMAIRE 1 - LE CADRE LÉGAL 2 - CE QUI VA CHANGER 3 - FOCUS SUR : REGISTRE ET DELEGUE A LA PROTECTION DES DONNEES PRIVACY BY DESIGN AND BY DEFAULT – ETUDE D’IMPACT VIOLATION DE DONNEES LES RELATIONS ENTRE RT ET SOUS-TRAITANT 4 - LES ACTIONS A METTRE EN OEUVRE 3
  4. 4. 1 – LE CADRE LÉGAL1 - LE CADRE LÉGAL 4
  5. 5. De 1978 à 2018 Ø La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ž Texte fondateur, largement modifié en particulier en 2004 ž Texte qui instaure la Commission nationale de l’informatique et des libertés (ci-après la « CNIL ») Directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Transposition en France par la loi n° 2004-801 du 6 août 2004 Ø Règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données Ce règlement sera directement applicable dans le droit français à compter du 25 mai 2018 5
  6. 6. 1 – LE CADRE LÉGAL2 – CE QUI VA CHANGER 6
  7. 7. Le principe de responsabilisation « accountability » Un champ d’application géographique étendu Une gestion des flux transfrontaliers simplifiée L’émergence de nouveaux droits pour les individus Des montants de sanctions démultipliés De nouvelles obligations L’extension de la responsabilité des sous-traitants 7 2 - Ce qui va changer en quelques mots
  8. 8. 1 – LE CADRE LÉGAL3 – FOCUS SUR LES NOUVELLES OBLIGATIONS 8
  9. 9. 9 Entreprise de moins de 250 salariés Traitements susceptibles de comporter un risque pour les personnes ou qui portent sur des données sensibles Entreprise de plus de 250 salariés non oui - Tenue du registre obligatoire - Désignation d’un délégué à la protection des données (cf ci- contre*) ž Tenue d’un registre obligatoire ž Désignation d’un délégué à la protection des données obligatoire* si les activités de base correspondent à : - des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes ; OU - des traitements à grande échelle de catégories particulières de données sensibles. OU si le droit d’un Etat membre l’exige. Registre et Délégué - Pas de tenue de registre obligatoire - Pas de désignation d’un délégué à la protection des données
  10. 10. Ø Le Règlement institue un principe de protection des données dès la conception et de protection des données par défaut (« Privacy by design and by default ») Ø Le Règlement donne un rôle central aux analyses d’impact. Ø Le responsable de traitement doit effectuer, avant le traitement, une analyse de l’impact des traitements envisagés sur la protection des données à caractère personnel lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le privacy by design and by default Les études d’impact 10
  11. 11. Ø Le Règlement met à la charge du responsable de traitement une obligation de notification des violations de données : « Le responsable de traitement notifie la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais si possible 72 heures au plus tard après en avoir pris connaissance ». Ø Exception : notification non obligatoire si elle n’est pas susceptible d’engager un risque pour les droits et libertés des personnes. Ø Le responsable de traitement doit indiquer : ü La nature de la violation des données à caractère personnel ü Les conséquences probables de la violation ü Les mesures prises pour y remédier Ø Le Règlement met à la charge du sous-traitant une obligation de notification des violations de données au responsable de traitement: « Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ». Ø Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. 11 L’obligation de notification
  12. 12. u Le responsable de traitement doit s’assurer que le sous-traitant auquel il confie des traitements concernant, au moins partiellement, des données à caractère personnel, présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. u Le sous-traitant ne peut pas recruter un autre sous-traitant sans l’autorisation préalable, spécifique ou générale, du responsable de traitement. u Un contrat doit être conclu entre le responsable de traitement et le sous- traitant définissant : - l’objet et la durée du traitement, - la nature et la finalité du traitement, - le type de données à caractère personnel et les catégories de personnes concernées, - les obligations et les droits du responsable de traitement. 12 Le contrat conclu avec le sous-traitant #1
  13. 13. u Le contrat entre le responsable de traitement et son sous-traitant doit préciser que le prestataire : u ne traite les données à caractère personnel que sur instruction documentée du RT ; u s’assure que son personnel intervenant sur les données est tenu par une obligation de confidentialité ; u met en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, telles que la pseudonymisation et le chiffrement des données (par renvoi à l’article 32 sur la sécurité des traitements) ; u obtient l’autorisation écrite du responsable de traitement pour sous-traiter tout ou partie des prestations ; u signe avec son ou ses propres sous-traitants un document comprenant toutes les clauses figurant dans la présente liste ; u aide le responsable du traitement à s’acquitter de ses obligations vis-à-vis des personnes concernées ainsi qu’à garantir le respect de ses obligations de sécurité et de notification des violations ; u au terme de la prestation : supprime les données à caractère personnel ou les renvoie au responsable de traitement, au choix de ce dernier, et détruit les copies existantes ; u met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d’audits. 13 Le contrat conclu avec le sous-traitant #2
  14. 14. 4 - COMMENT SE PREPARER ? 14
  15. 15. žIdentifier les traitements de données existants - Cartographie des flux/données/mesures mises en place - Plan de mise en conformité, en fonction du niveau de risques identifié pour chaque traitement žVous assurer que les mécanismes mis en place permettent de tracer et conserver la preuve de votre conformité à la réglementation et en particulier : - L’information donnée aux personnes concernées - Si nécessaire le consentement de ces personnes žDocumenter tout projet/ impliquant le traitement de données à caractère personnel − Condition sine qua non pour pouvoir apporter la preuve de la conformité à la réglementation Informatique et Liberté 15 Ce que vous pouvez (devez) faire
  16. 16. žPrendre en compte et implémenter les principes de privacy by design and by default - Ces principes doivent être pris en compte dans les projets d’aujourd’hui qui seront les produits/solutions/services de demain - La conformité à ces principes doit faire partie des exigences figurant dans les appels d’offres - Ces principes doivent régir la conception des nouvelles offres et leur mise en œuvre documentée (protection – minimisation) - En particulier prendre en compte les droits des individus (effacement, portabilité, etc.) - Analyser l’opportunité ou la nécessité de mettre en place une démarche de mesure d’impact žCommuniquer et former les équipes techniques et opérationnelles - Sur les principes de privacy by design and by default - Sur la nécessité de documenter toutes leurs démarches 16 Ce que vous pouvez (devez) faire
  17. 17. žCompléter vos contrats de service - Pour les contrats ayant vocation à perdurer au-delà de mai 2018 - A défaut les risques sont nombreux : - Risques pour l’entreprise cliente d’être en infraction avec le Règlement - Risques pour le prestataire de devoir se conformer à de nouvelles obligations potentiellement très onéreuses - Le PAS va devenir incontournable žComplétez vos mentions Informatique et Libertés - Loi pour une République numérique - Eventuellement : anticiper les nouvelles exigences 17 Ce que vous pouvez (devez) faire
  18. 18. žIdentifier rapidement si vous allez devoir désigner un délégué à la protection des données à caractère personnel - Analyse du périmètre - Gestion du budget correspondant žOrganiser la gestion des violations de données - Mise en place de procédures - Formation du personnel ET ENCORE DE NOMBREUSES AUTRES … 18 Ce que vous pouvez (devez) faire
  19. 19. MERCI POUR VOTRE ATTENTION 19

×