Introduction RGPD et bilan des premiers mois

1. Meetup RGPD
M A R 2 0 1 9

2. RGPD Indigestion ☺ 2

3. • Règlement Général sur la Protection des Données
• Il vise à protéger les personnes physiques, résidant dans l’Union
européenne, à l'égard du traitement de leurs données à caractère
personnel et garantir la libre circulation de ces données.
• Harmoniser le panorama juridique européen en matière de protection des
données personnelles
• Tout le monde est concerné. Toutes les entreprises, collectivités,
associations, etc., quelle que soit leur taille, ont l’obligation de se mettre en
conformité au RGPD.
• Le RGPD s’applique depuis le 25 mai 2018 dans tous les États membres de
l’Union européenne.
En bref 3

4. • Toute information identifiant directement ou indirectement une personne
physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date
de naissance, commune de résidence, empreinte digitale...).
• https://www.cnil.fr/fr/definition/donnee-personnelle
• Autres: d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un
mail,…
• Données sensibles: Une opinion politique, une sensibilité religieuse, un
engagement syndical, une appartenance ethnique, une orientation sexuelle,
une situation médicale ou des idées philosophiques. A valider par la CNIL
Données Personnelles 4

5. 1. Requiert une approche proactive de la confidentialité par conception (plutôt que
réactive) de manière à prévenir des risques de confidentialités (traiter les problèmes
à posteriori n’est pas acceptable)
2. La confidentialité doit être assurée par défaut (Privacy By Default)
3. La confidentialité doit être prise en compte dès la conception; (Privacy By Design)
4. La confidentialité par conception assures une fonctionnalité complète et garantir le
respect de la vie privée et la sécurité;
5. La sécurité doit faire partie intégrante des systèmes conçus et ce tout au long de
leur cycle de vie.
6. On cherche à donner de la visibilité et de la transparence
7. Les systèmes doivent rester centrés sur l'utilisateur, leurs intérêts et leurs besoins
doivent être pris en compte.
7 principes RGPD 5

6. 1. Finalités du traitement
2. Catégories de données personnelles en question
3. Destinataires à qui des données personnelles ont été divulguées
4. Période de stockage ou critères pour déterminer cette période
5. Existence des droits de rectification, d'effacement, de limitation de
traitement ou d'opposition
6. Le droit de porter plainte auprès d'une autorité de surveillance
7. Informations sur la source des données personnelles
8. Existence d'une prise de décision automatisée et détails sur le traitement
RGPD Article 15, droits du sujet 6

7. • Le consentement doit être granulaire, la notion de limitation du but ainsi que la minimisation (partielle) des
données
• Le consentement ne peut pas être inclus dans ces longues conditions d'utilisation
• Librement donné (le consentement ne peut être une condition préalable à l'utilisation des services)
• Une action volontaire OptIn (ne peut être implicite ou OptOut)
• Le consentement doit être spécifique aux objectifs réels
• Informés, clairs et simples, objectifs de la collecte de données, comment les données seront utilisées
• Utiliser des avis contextualisés (meilleure pratique, le moment de l’utilisation, rajoute un contexte clair pour que
l’utilisateur puisse examiner et comprendre le consentement)
• Stockage limité dans le temps et sécurisé, adapté aux besoins
• Facilement retirable, éventuellement par le même canal que celui utilisé pour donner son consentement
(suggestion de l’ICO)
• Enregistrement du consentement et du traitement (auditable, conformément aux principes de responsabilité et de
transparence)
• Destinataires identifiés à qui les données personnelles sont divulguées
• Consentir, ce n'est pas «rendre la vie difficile», il peut augmenter la confiance des utilisateurs.
Consentement RGPD 7

8. • Tenir des registres de toutes les activités de traitement (Article 30 GDPR);
• Assister les personnes concernées dans l'exercice de leurs droits en matière de vie
privée et de protection des données (Chapter III GDPR).
• Coopérer et consulter avec les autorités de contrôle (Article 31 GDPR);
• Assurer un niveau de sécurité (Article 32 GDPR);
• Pseudonymisation et encryptage
• Confidentialité, intégrité, disponibilité et résilience permanentes
• Informer les autorités de contrôle en cas de violation des données (Article 33 GDPR);
• Procéder à une analyse d'impact sur la protection des données (Article 35 GDPR);
• Nommer un responsable de la protection des données (Article 37 GDPR);
• Obligations spécifiques en matière de transfert de données hors de l'UE (Chapter V
GDPR);
obligations du contrôleur de données 8

9. • Source https://fr.slideshare.net/societeayaline/rgpd-gdpr-principes-dmarche-outils
Qu’est-ce que çà change ? 9

10. • Un allègement des formalités administratives et une responsabilisation des acteurs
• Plus besoin de déclaration à la CNIL (loi informatique et liberté)
• mais une documentation interne et auto-contrôle (PIA)
• Pouvoir démontrer le respect des règles relatives à la protection des données
• Nouveau rôle transverse: le DPO (Data Protection Officer)
• Établissement ou révision des contrats avec les sous- traitants et clients pour être en
phase avec les obligations issues du RGPD
• Privacy & Security By Design, By Default
• Notification des violations de sécurité dans les 72h (aux autorités et personnes
concernées)
Qu’est-ce que çà change ? Organisation 10

11. • Les amendes de la CNIL étaient limitées à 100k € / 300k € en France
• Amendes plus lourdes, maximum 20 millions d’euros,
• ou 4% du chiffre d’affaires total annuel mondial (s’il s’agit d’un montant supérieur)
• Par exemple. échec de la mise en œuvre de la protection des données par conception
et par défaut
• 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial d'une entreprise
• Par exemple. violation des principes de base du traitement des données (obtention
d'un consentement valide)
• plus haute amende de 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial
total
• Les individus auront le droit de mandater une association de protection de la vie
privée
Qu’est-ce que çà change ? Risques 11

12. • 66% des Français se disent plus sensibles que ces dernières années à la
protection de leurs données personnelles (sondage IFOP Octobre 2018)
• 32 000 organismes ont désigné un délégué à la protection des données
(personnes physiques ou morales) ; ce qui représente 15 000 DPO
• la CNIL a reçu 9 700 plaintes de particuliers, soit 34% de plus qu’en 2017
sur la même période
• Les autorités de protection européennes traitent actuellement en coopération
345 plaintes transfrontalières. La CNIL est concernée par 187 cas et
autorité chef de file pour 15 cas. Ces plaintes soulèvent notamment des
questions sur le consentement.
• Source https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application
Bilan CNIL 12

13. • la Cnil reproche à Google de ne pas permettre à
ses utilisateurs d'accéder facilement aux
informations relatives à l'utilisation de leurs
données
• Des informations essentielles, telles que les
finalités pour lesquelles les données sont traitées,
la durée de conservation des données ou les
catégories de données utilisées pour la
personnalisation de la publicité, sont
excessivement disséminées dans plusieurs
documents, qui comportent des boutons et liens
qu’il est nécessaire d’activer pour prendre
connaissance d’informations complémentaires
• L’information pertinente n’est accessible qu’après
plusieurs étapes, impliquant parfois jusqu’à cinq
ou six actions.
• L’amende égale 0,05 % du chiffre d’affaires
(96 Mds€ en 2017, impôts bénéfices de
14milllions€)
CNIL vs Google 13

14. • Comme tout autre consentement en vertu du RGPD, le consentement aux
cookies doit être une action affirmative claire. Un exemple consiste à cliquer
sur une case d'adhésion ou à choisir les paramètres dans le menu. Faites
attention à ne pas cocher de cases sur le formulaire de consentement!
Vous avez dit Opt-In ? 14

15. • Votre info est partagée avec 484 annonceurs !
On se soucie de votre vie privée !? 15

16. • ne payer aucune somme d’argent sous prétexte que cela stopperait toute action contentieuse
Arnaques 16

17. • L'Allemagne interdit à Facebook de croiser les données de WhatsApp et
Instagram sans consentement des utilisateurs
• Facebook ne peut plus contraindre ses utilisateurs à accepter des CGUs qui
l’autoriserait à combiner les données de toutes les filiales (Instagram, WhatsApp)
• Concrètement, le groupe devra solliciter "l'accord explicite" de ses quelque 30 millions
d'utilisateurs allemands avant de rattacher à leur compte les données obtenues via des
applications qui lui appartiennent, comme Instagram et Whatsapp, ou grâce au bouton
"J'aime" inséré sur des pages internet tierces.
• Chacune de ces sources extérieures pourra continuer à accumuler des informations
personnelles, mais il ne sera plus possible pour Facebook de les "fusionner" sur la
seule base de ses conditions générales d'utilisation
• Source
https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html?nn=3591568
Facebook Allemagne 17

18. • CNIL La reference pour la France (autorité de contrôle)
• FAQ https://www.cnil.fr/fr/cnil-direct/thematique/reglement-europeen
• Se préparer en 6 étapes
• https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
• Logiciel open source PIA facilite la conduite et la formalisation d’analyses
d’impact relatives à la protection des données (AIPD)
• https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
• Avis sur la blockchain
• https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-donnees-personnelles
• Document indexé (EN) https://gdpr-info.eu/
• Dark Patterns https://twitter.com/darkpatterns
Références 18

19. contact@twinpeek.net +33 972 532
474
www.twinpeek.net
Copyright 2019 – TwinPeek SAS
THANK YOU!