SlideShare une entreprise Scribd logo
1  sur  18
Télécharger pour lire hors ligne
Digital Analytics Forum
RGPD 2018 : êtes-vous prêt ?
1
Clémence SCOTTEZ
Chef du service des Affaires Economiques
Quels enjeux ?
• Individu pris dans un
maillage extrêmement
fin d’informations
personnelles relayées par
des objets de plus en
plus communicants
• implique une
pondération des intérêts
=> a priori par des
débats de société et a
postériori par le
législateur et les juges
220181109-DAF - AT Internet
Contexte
3
➢ L’univers numérique est construit sur les données personnelles,
c’est-à-dire sur les données relatives aux individus
➢ Mais => défiance croissante des individus
➢ En quelque temps, la promesse de libération de l’individu et
« d’empowerment » de celui-ci par le numérique a donc fait place à
un sentiment d’impuissance et de défiance
Enjeu : remettre l’individu au cœur d’un univers numérique dans
lequel il a tendance à être marginalisé
20181109-DAF - AT INTERNET
Article 1er de la loi « Informatique et Libertés »
➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de
l’homme et des libertés individuelles et publiques face à l’avènement de
l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation,
datamining, multiplication des décisions automatiques ou semi-
automatiques…)
420181109-DAF - AT Internet
520181109-DAF - AT Internet
6
Qu’est ce qui est concerné ?
Exemples de ré-identification
7
➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L :
« Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se
tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien »
➢ Massachusetts : croisement d'une base de données médicale
« pseudonymisée » et une liste électorale avec des données
nominatives.
➢ Etude réalisée par des chercheurs du MIT : une base de données
d’horodatage des antennes-relais (GSM) considérée a priori
comme anonyme permet d’identifier près de 90 % des personnes
20181109-DAF - AT INTERNET
Les 4 grands axes du RGPD
8
Affirmation de la maîtrise des personnes sur leurs
propres données
Responsabilisation des organismes (du privé
comme du public)
Renforcement des pouvoirs de sanction
Vers un marché commun unifié
20181109-DAF - AT INTERNET
Axe 1 : La maîtrise des personnes
sur leurs données personnelles
9 20181109-DAF - AT INTERNET
Renforcement global des droits (aperçu)
10
Le renforcement des droits existants
Les nouveaux droits
• obligation générale de faciliter l’exercice des droits (fourniture d’une information
claire, intelligible et aisément accessible)
• information renforcée (ex. transferts hors de l’UE, source des données, durée de
conservation)
• droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une
« CNIL »)
• droit à l’effacement et à l’oubli numérique confirmé
• la portabilité des données
• la limitation du traitement
• conditions particulières pour le traitement des données des enfants
20181109-DAF - AT INTERNET
Rappel : les consentements
20181109-DAF - AT INTERNET
Lesdonnéespersonnelles
• Licéité du
traitement
(art. 6 GDPR)
• Accord
parental pour
les mineurs
(art. 8 GDPR)
• Données
sensibles (art.
9 GDPR)
Lestraceurs
•Consentement
au dépôt ou à la
lecture
d’informations
sur le terminal
ou
consentement
« cookies » (art.
32.II de la LIL et
directive
ePrivacy)
Laprospectionparvoie
électronique
• Consentement
à la
prospection
par voie
électronique
(email, fax,
SMS) – (Article
L.34-5 du code
des postes et
des
communication
s électroniques
et directive
ePrivacy)
11
Axe 2 : Responsabilisation des professionnels
12
L e s o u s - t r a i t a n t
• obligations propres en matière de sécurité, de confidentialité et en matière d’accountability
• autorisation du RT pour recruter un ST
• tenue d’un registre
• obligation de conseil auprès du RT
• désignation d’un DPO
L e r e p r é s e n t a n t l é g a l
• point de contact de l’autorité
• tenue d’un registre
• mandat pour « être consulté en complément ou à la place du RT sur toutes les questions
relatives aux traitements » (DPA, personnes, etc.)
Re s p o n s a b i l i t é c o n j o i n t e
pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de
traitement conjoints »
20181109-DAF - AT INTERNET
L’accountability à l’heure du Règlement
13
➢ Aujourd’hui => formalités préalables pour tout traitement => charge
administrative et financière, peu efficace pour la protection des libertés ;
➢ Remplacées par des procédures et des mécanismes de responsabilisation
✓ l’application des principes de privacy by design et privacy by default
✓ la conduite d’analyses d’impact, ou « DPIA » ;
✓ la tenue d’un registre des traitements mis en œuvre ;
✓ la notification de failles de sécurité ;
✓ la consultation de la CNIL - DPIA
✓ la certification de traitements
✓ et l’adhésion à des codes de conduites.
20181109-DAF - AT INTERNET
Axe 3 : Des sanctions renforcées
14
« Les sanctions sont effectives, proportionnées et dissuasives »
Limiter
temporairement
ou
définitivement
un traitement
Suspension
des flux de
données hors
UE
Amendes
administratives
- 10 000 000€ / < 2
% du chiffre
d’affaires mondial
(CAM)
- 20 000 000€ / <
4% CAM
Mise en
demeure
de se
mettre en
conformité
20181109-DAF - AT INTERNET
Des voies de recours déclinées
15
Droit à un
recours
juridictionnel
contre un RT
- ST
Droit à un
recours
juridictionnel
contre une
DPA
Droit à un
recours
collectif
Une personne
peut mandater
un tiers pour
introduire une
réclamation en
son nom
Droit à
réparation
pour les
usagers
Réparation en
cas de
dommage
matériel ou
immatériel
20181109-DAF - AT INTERNET
Axe 4 : vers un marché commun unifié
Le mécanisme de coopération
renforcée pour les traitements
transnationaux, ou « one-stop-shop »
La DPA chef de file est celle dont le RT – ST a son
établissement principal établi sur le territoire national
La DPA chef de file rédige des projets de mesures et les
propose à toutes les DPA compétentes
Lorsqu’il n’y a pas d’objections sur les projets proposés,
alors les mesures sont réputées adoptées
S’il y a des objections et que les DPA ne parviennent pas
à se mettre d’accord, alors l’organe européen, l’EDPB,
est saisi
16 20181109-DAF - AT INTERNET
17
Le règlement s’applique dès lors qu’un de ces deux critères est présent :
- le responsable de traitement ou le sous-traitant est établi sur le
territoire de l’Union européenne
OU
- le responsable de traitement ou le sous-traitant n’est pas établi sur
le territoire de l’UE, mais met en œuvre des traitement visant à
fournir des biens et des services aux résidents européens ou à
les surveiller (monitor)
Un champ d’application territorial étendu
20181109-DAF - AT INTERNET
18
Merci de votre attention !
➢ Pour plus d’information : RV sur www.cnil.fr

Contenu connexe

Tendances

Tendances (20)

RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPD
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateurs
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
RGPD
RGPDRGPD
RGPD
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Rgpd
RgpdRgpd
Rgpd
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365MWCP18 Masterclass RGPD avec Office 365
MWCP18 Masterclass RGPD avec Office 365
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 

Similaire à [DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

Similaire à [DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL) (20)

earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données  à caractère personnel  au sein des a...earlegal #4 - La protection des données  à caractère personnel  au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Cnil 35e rapport annuel 2014
Cnil 35e rapport annuel 2014Cnil 35e rapport annuel 2014
Cnil 35e rapport annuel 2014
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Evolution de la reglementation europeenne en matiere de protection des donnes...
Evolution de la reglementation europeenne en matiere de protection des donnes...Evolution de la reglementation europeenne en matiere de protection des donnes...
Evolution de la reglementation europeenne en matiere de protection des donnes...
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
PoissonPilote - INIZIA - Présentation données personnelles mai 2016
PoissonPilote - INIZIA - Présentation données personnelles mai 2016PoissonPilote - INIZIA - Présentation données personnelles mai 2016
PoissonPilote - INIZIA - Présentation données personnelles mai 2016
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Kit présentation rapport ambition numérique
Kit présentation rapport ambition numériqueKit présentation rapport ambition numérique
Kit présentation rapport ambition numérique
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
 
Cybersécurité &amp; protection des données personnelles
Cybersécurité &amp; protection des données personnellesCybersécurité &amp; protection des données personnelles
Cybersécurité &amp; protection des données personnelles
 

Plus de AT Internet

Plus de AT Internet (20)

[INFOGRAPHIE] Une stratégie digital analytics orientée confidentialité
[INFOGRAPHIE] Une stratégie digital analytics orientée confidentialité[INFOGRAPHIE] Une stratégie digital analytics orientée confidentialité
[INFOGRAPHIE] Une stratégie digital analytics orientée confidentialité
 
Reeport Partner presentation - Mixing site- and ad- centric data despite the ...
Reeport Partner presentation - Mixing site- and ad- centric data despite the ...Reeport Partner presentation - Mixing site- and ad- centric data despite the ...
Reeport Partner presentation - Mixing site- and ad- centric data despite the ...
 
Présentation partenaire OnCrawl - Comment ouvrir l’Appétit des Moteurs de Rec...
Présentation partenaire OnCrawl - Comment ouvrir l’Appétit des Moteurs de Rec...Présentation partenaire OnCrawl - Comment ouvrir l’Appétit des Moteurs de Rec...
Présentation partenaire OnCrawl - Comment ouvrir l’Appétit des Moteurs de Rec...
 
Altice Média Customer Success - App store optimisation
Altice Média Customer Success - App store optimisationAltice Média Customer Success - App store optimisation
Altice Média Customer Success - App store optimisation
 
L'Équipe Customer Success - Using analytics to fuel efficient personalisation
L'Équipe Customer Success - Using analytics to fuel efficient personalisationL'Équipe Customer Success - Using analytics to fuel efficient personalisation
L'Équipe Customer Success - Using analytics to fuel efficient personalisation
 
Cas client Credit Agricole - Approche data-driven : de la stratégie au déploi...
Cas client Credit Agricole - Approche data-driven : de la stratégie au déploi...Cas client Credit Agricole - Approche data-driven : de la stratégie au déploi...
Cas client Credit Agricole - Approche data-driven : de la stratégie au déploi...
 
Reeport @ Digital Analytics Forum 2018: Defining KPIs that matter
Reeport @ Digital Analytics Forum 2018: Defining KPIs that matterReeport @ Digital Analytics Forum 2018: Defining KPIs that matter
Reeport @ Digital Analytics Forum 2018: Defining KPIs that matter
 
OnCrawl @ Digital Analytics Forum 2018 : le référencement naturel augmenté
OnCrawl @ Digital Analytics Forum 2018 : le référencement naturel augmentéOnCrawl @ Digital Analytics Forum 2018 : le référencement naturel augmenté
OnCrawl @ Digital Analytics Forum 2018 : le référencement naturel augmenté
 
Kamp'n @ Digital Analytics Forum 2018 : la puissance d'AT Internet dans vos F...
Kamp'n @ Digital Analytics Forum 2018 : la puissance d'AT Internet dans vos F...Kamp'n @ Digital Analytics Forum 2018 : la puissance d'AT Internet dans vos F...
Kamp'n @ Digital Analytics Forum 2018 : la puissance d'AT Internet dans vos F...
 
Machine Learning in Marketing - Jim Sterne @ Digital Analytics Forum 2018
Machine Learning in Marketing - Jim Sterne @ Digital Analytics Forum 2018Machine Learning in Marketing - Jim Sterne @ Digital Analytics Forum 2018
Machine Learning in Marketing - Jim Sterne @ Digital Analytics Forum 2018
 
Le Digital Analytics, arme de conversion massive pour les sites marchands - P...
Le Digital Analytics, arme de conversion massive pour les sites marchands - P...Le Digital Analytics, arme de conversion massive pour les sites marchands - P...
Le Digital Analytics, arme de conversion massive pour les sites marchands - P...
 
Analytics et SEO : les clés d'une stratégie réussie - We Love SEO 2018
Analytics et SEO : les clés d'une stratégie réussie - We Love SEO 2018Analytics et SEO : les clés d'une stratégie réussie - We Love SEO 2018
Analytics et SEO : les clés d'une stratégie réussie - We Love SEO 2018
 
AT Internet & Mazeberry : de la data analytics au mix marketing maitrisé
AT Internet & Mazeberry : de la data analytics au mix marketing maitriséAT Internet & Mazeberry : de la data analytics au mix marketing maitrisé
AT Internet & Mazeberry : de la data analytics au mix marketing maitrisé
 
AT Internet & Mazeberry: from analytics to a fully optimised marketing mix
AT Internet & Mazeberry: from analytics to a fully optimised marketing mixAT Internet & Mazeberry: from analytics to a fully optimised marketing mix
AT Internet & Mazeberry: from analytics to a fully optimised marketing mix
 
[DAF 2017] Digital Analytics 4.0: Are You Ready?
[DAF 2017] Digital Analytics 4.0: Are You Ready?[DAF 2017] Digital Analytics 4.0: Are You Ready?
[DAF 2017] Digital Analytics 4.0: Are You Ready?
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 
[DAF 2017] Analytics Suite 2 - Data you can trust
[DAF 2017] Analytics Suite 2 - Data you can trust[DAF 2017] Analytics Suite 2 - Data you can trust
[DAF 2017] Analytics Suite 2 - Data you can trust
 
[DAF 2017] Analytics Suite 2 - Insights for everyone
[DAF 2017] Analytics Suite 2 - Insights for everyone[DAF 2017] Analytics Suite 2 - Insights for everyone
[DAF 2017] Analytics Suite 2 - Insights for everyone
 
Data & Digital Analytics : comment contribuer efficacement à l'optimisation S...
Data & Digital Analytics : comment contribuer efficacement à l'optimisation S...Data & Digital Analytics : comment contribuer efficacement à l'optimisation S...
Data & Digital Analytics : comment contribuer efficacement à l'optimisation S...
 
Data Driven Testing : Combinez Analytics et A/B test pour maximiser vos conve...
Data Driven Testing : Combinez Analytics et A/B test pour maximiser vos conve...Data Driven Testing : Combinez Analytics et A/B test pour maximiser vos conve...
Data Driven Testing : Combinez Analytics et A/B test pour maximiser vos conve...
 

[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)

  • 1. Digital Analytics Forum RGPD 2018 : êtes-vous prêt ? 1 Clémence SCOTTEZ Chef du service des Affaires Economiques
  • 2. Quels enjeux ? • Individu pris dans un maillage extrêmement fin d’informations personnelles relayées par des objets de plus en plus communicants • implique une pondération des intérêts => a priori par des débats de société et a postériori par le législateur et les juges 220181109-DAF - AT Internet
  • 3. Contexte 3 ➢ L’univers numérique est construit sur les données personnelles, c’est-à-dire sur les données relatives aux individus ➢ Mais => défiance croissante des individus ➢ En quelque temps, la promesse de libération de l’individu et « d’empowerment » de celui-ci par le numérique a donc fait place à un sentiment d’impuissance et de défiance Enjeu : remettre l’individu au cœur d’un univers numérique dans lequel il a tendance à être marginalisé 20181109-DAF - AT INTERNET
  • 4. Article 1er de la loi « Informatique et Libertés » ➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de l’homme et des libertés individuelles et publiques face à l’avènement de l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation, datamining, multiplication des décisions automatiques ou semi- automatiques…) 420181109-DAF - AT Internet
  • 6. 6 Qu’est ce qui est concerné ?
  • 7. Exemples de ré-identification 7 ➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L : « Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien » ➢ Massachusetts : croisement d'une base de données médicale « pseudonymisée » et une liste électorale avec des données nominatives. ➢ Etude réalisée par des chercheurs du MIT : une base de données d’horodatage des antennes-relais (GSM) considérée a priori comme anonyme permet d’identifier près de 90 % des personnes 20181109-DAF - AT INTERNET
  • 8. Les 4 grands axes du RGPD 8 Affirmation de la maîtrise des personnes sur leurs propres données Responsabilisation des organismes (du privé comme du public) Renforcement des pouvoirs de sanction Vers un marché commun unifié 20181109-DAF - AT INTERNET
  • 9. Axe 1 : La maîtrise des personnes sur leurs données personnelles 9 20181109-DAF - AT INTERNET
  • 10. Renforcement global des droits (aperçu) 10 Le renforcement des droits existants Les nouveaux droits • obligation générale de faciliter l’exercice des droits (fourniture d’une information claire, intelligible et aisément accessible) • information renforcée (ex. transferts hors de l’UE, source des données, durée de conservation) • droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une « CNIL ») • droit à l’effacement et à l’oubli numérique confirmé • la portabilité des données • la limitation du traitement • conditions particulières pour le traitement des données des enfants 20181109-DAF - AT INTERNET
  • 11. Rappel : les consentements 20181109-DAF - AT INTERNET Lesdonnéespersonnelles • Licéité du traitement (art. 6 GDPR) • Accord parental pour les mineurs (art. 8 GDPR) • Données sensibles (art. 9 GDPR) Lestraceurs •Consentement au dépôt ou à la lecture d’informations sur le terminal ou consentement « cookies » (art. 32.II de la LIL et directive ePrivacy) Laprospectionparvoie électronique • Consentement à la prospection par voie électronique (email, fax, SMS) – (Article L.34-5 du code des postes et des communication s électroniques et directive ePrivacy) 11
  • 12. Axe 2 : Responsabilisation des professionnels 12 L e s o u s - t r a i t a n t • obligations propres en matière de sécurité, de confidentialité et en matière d’accountability • autorisation du RT pour recruter un ST • tenue d’un registre • obligation de conseil auprès du RT • désignation d’un DPO L e r e p r é s e n t a n t l é g a l • point de contact de l’autorité • tenue d’un registre • mandat pour « être consulté en complément ou à la place du RT sur toutes les questions relatives aux traitements » (DPA, personnes, etc.) Re s p o n s a b i l i t é c o n j o i n t e pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de traitement conjoints » 20181109-DAF - AT INTERNET
  • 13. L’accountability à l’heure du Règlement 13 ➢ Aujourd’hui => formalités préalables pour tout traitement => charge administrative et financière, peu efficace pour la protection des libertés ; ➢ Remplacées par des procédures et des mécanismes de responsabilisation ✓ l’application des principes de privacy by design et privacy by default ✓ la conduite d’analyses d’impact, ou « DPIA » ; ✓ la tenue d’un registre des traitements mis en œuvre ; ✓ la notification de failles de sécurité ; ✓ la consultation de la CNIL - DPIA ✓ la certification de traitements ✓ et l’adhésion à des codes de conduites. 20181109-DAF - AT INTERNET
  • 14. Axe 3 : Des sanctions renforcées 14 « Les sanctions sont effectives, proportionnées et dissuasives » Limiter temporairement ou définitivement un traitement Suspension des flux de données hors UE Amendes administratives - 10 000 000€ / < 2 % du chiffre d’affaires mondial (CAM) - 20 000 000€ / < 4% CAM Mise en demeure de se mettre en conformité 20181109-DAF - AT INTERNET
  • 15. Des voies de recours déclinées 15 Droit à un recours juridictionnel contre un RT - ST Droit à un recours juridictionnel contre une DPA Droit à un recours collectif Une personne peut mandater un tiers pour introduire une réclamation en son nom Droit à réparation pour les usagers Réparation en cas de dommage matériel ou immatériel 20181109-DAF - AT INTERNET
  • 16. Axe 4 : vers un marché commun unifié Le mécanisme de coopération renforcée pour les traitements transnationaux, ou « one-stop-shop » La DPA chef de file est celle dont le RT – ST a son établissement principal établi sur le territoire national La DPA chef de file rédige des projets de mesures et les propose à toutes les DPA compétentes Lorsqu’il n’y a pas d’objections sur les projets proposés, alors les mesures sont réputées adoptées S’il y a des objections et que les DPA ne parviennent pas à se mettre d’accord, alors l’organe européen, l’EDPB, est saisi 16 20181109-DAF - AT INTERNET
  • 17. 17 Le règlement s’applique dès lors qu’un de ces deux critères est présent : - le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne OU - le responsable de traitement ou le sous-traitant n’est pas établi sur le territoire de l’UE, mais met en œuvre des traitement visant à fournir des biens et des services aux résidents européens ou à les surveiller (monitor) Un champ d’application territorial étendu 20181109-DAF - AT INTERNET
  • 18. 18 Merci de votre attention ! ➢ Pour plus d’information : RV sur www.cnil.fr