Réglementation européenne pour la protection des données personnelles (RGPD)
Présentation de Florence Eon dans le cadre de la Journée nationale des industriels - 21 décembre 2017 - Centre d'affaires Paris Victoire
4. Régime général de la protection des données personnelles
4
Nouvelles responsabilités responsable de traitement / sous-traitant
Directive 95/46 et LIL
Formalités préalables
A réaliser auprès de la CNIL (avant mise en œuvre du
traitement)
Désignation facultative d’un CIL
Responsable de traitement
A identifier / lié par contrat au sous-traitant
5 principes
• finalité du traitement
• pertinence et proportionnalité des données
• durée de conservation limitée des données
• sécurité et confidentialité des données
• respect des droits des personnes
GDPR
Accountability
mesures de protection des données appropriées pour
démontrer leur conformité à tout moment
Privacy by design/ Privacy by default
Garantir que les traitements de données ne portent pas
atteinte à la vie privée dès la conception
Privacy Impact Assessment
Obligation, pour les RT avec l’aide du ST d'effectuer une
analyse d'impact relative à la protection des données
préalablement aux traitements présentant des risques.
Data Protection Officer
Rendu obligatoire dans certains cas
| Journée nationale des industriels - 21 déc. 2017
5. Détermination du RT et du sous-traitant
5
Vous êtes un sous-traitant si vous traitez des données personnelles pour le compte,
sur instruction et sous l’autorité d’un responsable de traitement.
Le responsable de traitement est celui « qui détermine les finalités et les moyens
d’un traitement ».
| Journée nationale des industriels - 21 déc. 2017
Analyse au cas par cas
• niveau d’instruction donné par le client au prestataire
• degré de contrôle de l’exécution de la prestation
• valeur ajoutée fournie par le prestataire
• degré de transparence sur le recours à un prestataire
Exemples
Les prestataires de services informatiques (hébergement, maintenance,...), les intégrateurs de logiciels, les sociétés
de sécurité informatique, les entreprises de service du numérique (ex sociétés de services et d'ingénierie en
informatique (SSII)) qui ont accès aux données personnelles.
6. Mise en œuvre en pratique des nouvelles obligations du sous-traitant
6
• Etablir un contrat avec votre client
précisant les obligations de chaque partie
(article 28 RGPD)
• Demander l’autorisation écrite de votre
client si, en tant que sous-traitant, vous
faites vous-même appel à un sous-traitant.
• Recenser par écrit les instructions de votre
client concernant les traitements de ses
données afin de prouver que vous
agissez « sur instruction documentée
du responsable de traitement ».
• La prise en compte des principes de
protection des données dès la conception
et de protection des données par défaut
(ex. : minimisation des données, matrice
d’habilitation)
• Mettre à la disposition de votre client
toutes les informations nécessaires pour
démontrer le respect de vos obligations et
pour permettre la réalisation d’audits (sur la
base, par exemple, du référentiel de la
CNIL pour la délivrance de labels en
matière de procédure d'audit)
• Tenir un registre qui recense vos clients et
décrit les traitements que vous effectuez
pour leur compte
| Journée nationale des industriels - 21 déc. 2017
7. Règlement européen et étude d’impact sur la vie privée
7| Journée nationale des industriels - 21 déc. 2017
Traitement susceptible d'engendrer un risque élevé pour les droits et
libertés des personnes physiques :
- profilage ;
- traitement à grande échelle de données sensibles (notam. santé) ;
- surveillance systématique à grande échelle d'une zone accessible
au public;
- autres, à déterminer par la CNIL.
A réaliser avant la mise en œuvre du traitement + à faire évoluer
régulièrement
Quand faut-il
réaliser une
étude d’impact ?
Il s’agit d’une analyse de risques, incluant :
- description du traitement ;
- évaluation des risques pour les personnes ;
- mesures juridiques et de sécurité pour y faire face.
Que doit
contenir une
étude d’impact ?
8. Règlement UE et secteur de la santé : des principes inchangés
8| Journée nationale des industriels - 21 déc. 2017
Dérogations
- consentement explicite
- exécution des obligations / exercice des droits en
droit du travail et droit de la protection et sécurité
sociale si loi UE, loi EM ou convention collective
- sauvegarde des intérêts vitaux
- association / org. à but non but lucratif,
- données rendues publiques par la personne
concernée
- constatation, défense ou exercice d’un droit en
justice
- médecine préventive / du travail
- motifs importants d’intérêt public.
- traitements pour motifs d'intérêt public dans le
domaine de la santé publique
- traitements aux fins de recherche scientifique,
historique ou à des fins statistiques, ou
d'archivage dans l'intérêt public.
Marge de manœuvre des EM pour ajouter ou
conserver des obligations supplémentaires.
Données de santé = catégories particulières de données.
Les traitements de ces catégories particulières de DCP sont interdits.
Principes
9. Règlement UE et secteur de la santé :
Référentiels et guides sectoriels
9
Documents de référence et documents d’accompagnement concernant la protection des données de santé :
- Corpus documentaire de la PGSSI-S
- Guides de la CNIL
- Guides sur la sécurité
- Guide du sous-traitant Edition septembre 2017
- Guides de l’ANSSI
- Référentiel d’agrément HDS (et référentiels de certification)
- Référentiel de bonnes pratiques pour les applications et les objets connectés en santé (HAS)
Certains référentiels sectoriels ont force contraignante.
- Certains référentiels PGSSI-S ont vocation à être rendus opposables : gouvernance, authentification,
traçabilité Art. L1110-4-1 du code de la santé publique
- Obligation de recourir à un hébergeur agréé ( => certifié) Art. L1111-8 du code de la santé publique
- Le référentiel sécurité SNDS s'applique au SNDS central ainsi qu'à tous les systèmes mettant à disposition
des données du SNDS. Arrêté du 22 mars 2017
| Journée nationale des industriels - 21 déc. 2017