SlideShare une entreprise Scribd logo
1  sur  53
Radiographie du délégué
à la protection des données
Jean-François HENROTTE
Fanny COTON
www.earlegal.beGroupe Larcier / Lexing
Cadre légal
Aujourd’hui
Directive 95/46 – Loi du 8/12/1992
Rares cas : conseiller en sécurité de l’information
25/05/2018 :
Règlement général 2016/679 du 27/04/16 sur la
protection des données (RGPD/GDPR)
Délégué à la protection des données (DPD/DPO)
Projet de loi belge :
CPVP  Autorité de Protection des Données
2
www.earlegal.beGroupe Larcier / Lexing
Programme
Dans quel cas une entreprise doit-elle désigner un Délégué à
la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le
quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
3
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Directeur général (ex secrétaire communal) se
propose pour veiller à la mise en œuvre du RGPD
• Doit-il y avoir un DPD ?
• Si oui, le Directeur général peut-il être le DPD ?
Commune de
10.000
habitants
• 200 employés
• Responsable IT est pressenti pour veiller à la mise
en œuvre du RGPD
Filiale belge
d’une banque
néerlandaise
Groupe Larcier / Lexing www.earlegal.be
1.
Dans quel cas une entreprise
doit-elle désigner un DPD?
5
www.earlegal.beGroupe Larcier / Lexing
Enjeux
6
Amendes : maximum
20.000.000 EUR ou 4%
du CA annuel mondial
du groupe de l’exercice
précédent
Réputation
Confiance
www.earlegal.beGroupe Larcier / Lexing
Pas une question de taille de l’entreprise :
(abandon du critère des 5.000 personnes concernées)
Obligatoire dans 3 cas :
MAIS l’Union ou un État membre pourront prévoir d’autres cas
obligatoires  risque de disparités nationales
 À ce stade, pas de cas supplémentaire prévu par Loi belge (loi-cadre ?)
Quand désigner un DPD ? (Art. 37 RGPD)
www.earlegal.beGroupe Larcier / Lexing
1. Traitement par une autorité publique ou un
organisme public
Notion d’autorité publique ?
RGPD : pas de définition  droit national
// avec marchés publics ?
Avis 243 G29 au sujet délégué à la protection des données
 dès que mission d’intérêt public (// cons. 45)
 Devrait se considérer comme autorité publique
Hôpital public = autorité publique
8
www.earlegal.beGroupe Larcier / Lexing
1. Suivi
Tracking  géolocalisation des véhicules d’entreprise, contrôle utilisation
d’internet, déplacements via transports en commun, objets connectés,
vidéosurveillance
Profilage
Pour prise de décision
 solvabilité, prévention des fraudes
Ou pour prédire préférences/comportements
 publicité comportementale, programme de fidélité
Pas seulement en ligne
2. Régulier (fréquence)
3. Systématique (méthode)
4. A grande échelle
Pas de nombre précis dans GDPR ou lignes directrices, seulement
exemples (par un hôpital >< cabinet unipersonnel)
facteurs à prendre en compte :
Nombre de données
Étendue géographique
Durée
2. Suivi régulier et systématique à grande échelle
des personnes concernées
www.earlegal.beGroupe Larcier / Lexing
1. Données particulières
Art 9 : données à caractère personnel qui révèlent
l'origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses ou philosophiques,
l'appartenance syndicale,
des données concernant la santé,
des données génétiques,
des données biométriques,
des données concernant la vie sexuelle
ou l'orientation sexuelle,
Art. 10
relatives aux condamnations pénales et aux infractions ou aux mesures de
sûreté connexes,
2. A grande échelle
3. Traitement de données « particulières » à
grande échelle
www.earlegal.beGroupe Larcier / Lexing 11
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Autorité publique
•  DPD obligatoire
Commune de
10.000
habitants
• Examen de solvabilité  DPD
obligatoire
• Vidéosurveillance  DPD
obligatoire
Filiale belge
d’une banque
néerlandaise
www.earlegal.beGroupe Larcier / Lexing
Quelle obligation pour le sous-traitant ?
Mêmes cas obligatoires:
Si le responsable de traitement doit designer un DPD, doit-il
obligatoirement faire appel à un sous-traitant qui a désigné un DPD ?
 NON
 si chacun a un DPD  obl. de collaboration
www.earlegal.beGroupe Larcier / Lexing
En dehors de ces 3 cas
14
Choix
SOIT :
Désignation facultative
Mission aussi étendue
que si DPD obligatoire
Aucun avantage
pour RT/ST
SOIT :
Ne désigne pas de DPD
Garder trace des éléments de décision
(accountability)
Eviter confusion si un employé en
charge des questions de VP
Evolution des activités et des
traitements pourrait entraîner
désignation obligatoire d’un DPD
www.earlegal.beGroupe Larcier / Lexing
Contrôle par APD
 possibilité de contrôle par future APD (// projet de loi - actuellement CPVP) si
aucune coordonnée reçue en mai 2018
15
Désignation
obligatoire
/
Désignation
facultative
Mission englobe
TOUS les
traitements
(pas seulement
ceux qui
relèvent des 3
cas obligatoires)
Communica-tion
des coordonnées
du DPD à APD
Groupe Larcier / Lexing www.earlegal.be
2.
Quel DPD désigner ?
16
www.earlegal.beGroupe Larcier / Lexing
Pas de formation minimale
Pas d’approbation préalable (>< Conseiller en sécurité de l’information)
Expertise
EXPERTISE
en droit
de la protection
des données
Connaissance du
secteur d’activités/
des procédures
administratives
COMPREHENSION
des activités de
traitement Capacités
personnelles
www.earlegal.beGroupe Larcier / Lexing
Pas en situation de conflits d’intérêts
Peut exécuter d'autres tâches
 attention aux conflits d’intérêts !
Interne >< poste de décision
Pas juge et partie
Conseiller en sécurité de l’information ? (Recom. APD)
 amende de autorité bavaroise (manager IT)
Examen préalable des postes conflictuels
Documenter le processus
Quid petites structures ?
Externe
Clients en conflit
Peut aussi représenter en justice ou devant APD?
NON  Déontologie avocat (>< autre prestataire externe)
18
www.earlegal.beGroupe Larcier / Lexing
Aucun impact sur les tâches,
ni pour les personnes concernées
Interne ou externe
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Directeur général
• Pas le temps de former qqn du
service juridique
• DPD externe
Commune de
10.000
habitants
• Responsable IT
• Qqn du service juridique de la
maison mère aux Pays-Bas ?
Filiale belge
d’une banque
néerlandaise
www.earlegal.beGroupe Larcier / Lexing
Un seul DPD pour plusieurs entités ?
Ok pour autant que :
1.Pas surchargé
2.Facilement joignable à partir de chaque lieu
d'établissement
3.Communique avec APD et personnes
concernées dans langue du pays où l’entité est
située :
G29 : toujours dans la langue de l’APD ou de la personne
concernée : excessif si produit/service fourni dans une autre
langue
APD : peut se faire aider de traducteurs
21
www.earlegal.beGroupe Larcier / Lexing
G29 : ok pour autant que :
répartition claire des tâches
et 1 personne “en charge”
Équipe multidisciplinaire plus efficace
Langues
Gestion des absences
1 DPD par branche d’activité, possible ?
(ex : marchés publics/privés)
Pas de réponse à ce stade
 préférable équipe avec 1 responsable
En équipe ?
www.earlegal.beGroupe Larcier / Lexing
Un DPD impliqué
Associé à toutes les questions relatives à la
protection des données à caractère personnel
au plus tôt (privacy by design)
Informer personnel à tous les niveaux
Présenter DPD au management senior et
intermédiaire
Inviter DPD régulièrement aux réunions (au
minimum quand décisions ont un impact sur
la protection des données)
Développer lignes directrices internes %
quand consulter DPD
Coordonnées de contact communiquées à
tous les travailleurs
www.earlegal.beGroupe Larcier / Lexing
Un DPD outillé
 Ressources nécessaires
 Temps
 Équipe
 Matériel
 Accès aux données à
caractère personnel et aux
opérations de traitement
 Formation permanente
www.earlegal.beGroupe Larcier / Lexing
Un DPD écouté
Support de la
direction
Si son avis n’est
pas suivi :
documenter
pourquoi
 Accountability
www.earlegal.beGroupe Larcier / Lexing
Un DPD indépendant et protégé
Sanction : amende administrative
(aucune indemnisation spécifique pour DPD)
Quid si n’exécute pas correctement sa mission de DPD ?
• Fait directement rapport au niveau le
plus élevé de la direction
• Aucune instruction, mais
• pas de pouvoir décisionnel
• pas d’obligation de dénonciation
• Ne peut être licencié ou pénalisé (même
simple menace) en raison de l'exercice de
ses missions.
Groupe Larcier / Lexing www.earlegal.be
3.
Comment les missions du DPD
s’insèrent-elles dans le quotidien de l’entreprise ?
27
www.earlegal.beGroupe Larcier / Lexing
Article 39 : Mission minimale
28
CONSEIL
DECISION
CONSCIENTISATION
INTERMEDIAIRE
VERIFICATION
Informer et
conseiller sur les
obligations qui
leur incombent en
vertu du RGPD et
du droit belge
% réalisation analyse d’impact
Audits
Sensibilisation
Formation du personnel
culture « vie privée »
Point de contact
pour l‘APD et
personnes
concernées
Coopération avec
l’APD
www.earlegal.beGroupe Larcier / Lexing
Quelles priorités ?
Lignes directrices WP 243 du G 29 : DPD tient compte du risque associé aux
opérations de traitement compte tenu de :
la nature,
la portée,
du contexte
et des finalités du traitement,
Pas compliance parfaite immédiatement
autorisation de négliger les “petits” traitements
Détermination des risques
Détermination de l’ampleur du travail à réaliser
Priorités et traitements stratégiques
29
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Traitements des données de la
population
• Traitement des données du personnel
communal
Commune de
10.000
habitants
• Données relatives à la solvabilité
• Vidéosurveillance
• Traitements hors UE
• Données accidents de travail
• Données salariales
Filiale belge
d’une banque
néerlandaise
www.earlegal.beGroupe Larcier / Lexing
Conseil
31
CONSEIL
www.earlegal.beGroupe Larcier / Lexing
Conseil documents contractuels
Base juridique
Consentement : explicite + termes
clairs
Enfants âgés de moins de 16 ans
Obligation de transparence renforcée
www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception
Protection des données par défaut
www.earlegal.beGroupe Larcier / Lexing
Conscientisation
34
CONSCIENTISATION
www.earlegal.beGroupe Larcier / Lexing
Formation du personnel
 Concepts
 Risques
 Nouvelle mentalité privacy by
design/privacy by default
 Réflexe de consulter le DPD
 Délai de 8 semaines nécessaire
pour avis préalable
 Procédures mises en place
 Simulation d’une brèche de sécurité
 Simulation d’une « descente » de la
Commission Vie Privée
www.earlegal.beGroupe Larcier / Lexing
Vérification
36
VERIFICATION
www.earlegal.beGroupe Larcier / Lexing
Registre des activités de traitement
37
La tenue du registre ne fait pas
partie de la mission de base
Responsabilité du RT/ST
APD : DPD doit être impliqué
dans le processus
Nom et données de contact du
DPD mentionnées dans le
registre
www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
38
La réalisation de l’analyse d’impact ne fait pas
partie de la mission de base du DPD
DPD donne son avis sur demande sur :
• Obligation procéder à AIPD
• Méthodologie
• In house/outsourcing ?
• Mesures de sécurité
• Si AIPD correctement réalisée
• Si nécessite un avis préalable de APD
APD : même si DPD chargé de realiser
l’analyse d’impact :
pas une tâche solitaire, mais collective
www.earlegal.beGroupe Larcier / Lexing
En cas de violation de données
39
• Conseil sur obligation ou non de notifier
• Respect délai
• Façon dont l’incident est documenté
• Notification contient les données de contact du délégué
www.earlegal.beGroupe Larcier / Lexing
Audits
Audits réguliers
Nouveaux traitements
Effacement données plus justifiées
Renouvellement AI tous les 3 ans (G29)
(APD : tous les 2 ans)
DPD interne :
Échéancier de tâches sur l’année
DPO externe :
Audit ponctuel
www.earlegal.beGroupe Larcier / Lexing
Obligation de dénonciation ?
DPD doit-il alerter APD si on ne suit pas ses avis?
 Pas d’obligation de dénoncer
 Mettre fin à la mission
// conseiller en sécurité de l’information
Dénonciation incompatible avec secret professionnel de l’avocat
41
www.earlegal.beGroupe Larcier / Lexing
Intermédiaire
42
INTERMEDIAIRE
www.earlegal.beGroupe Larcier / Lexing
Point de contact pour APD
Pouvoirs APD :
Demande de renseignements
Accès aux locaux
Accès à la documentation
Coopération : faciliter accès aux documents et fournir information
 DPD ne doit pas traiter lui-même les demandes, mais s’assurer
qu’on y répond
+ Consultation préalable
+ en cas violation de données
www.earlegal.beGroupe Larcier / Lexing
Point de contact pour les personnes concernées
DPD ne doit pas traiter lui-même les demandes, mais
• s’assurer qu’on y répond
• dans les 30 jours
• transmettre les demandes aux destinataires des données
www.earlegal.beGroupe Larcier / Lexing
Missions supplémentaires possibles :
Tenue registre
Réalisation analyse d’impact
Collaboration avec DPD de
clients potentiels
Rédaction de clauses
Réponse aux requêtes des
personnes concernées
Rédaction de procedures types
Gestion des litiges en matière de
vie privée
…
45
www.earlegal.beGroupe Larcier / Lexing
Pas de pouvoir décisionnel
46
DECISION
www.earlegal.beGroupe Larcier / Lexing
Responsabilité
DPD pas personnellement
responsable de l’infraction
commise par RT/ST
(pas de pouvoir décisionnel)
Externe
Responsabilité contractuelle
Responsabilité pénale ? Infraction
volontaire ou complicité
 Précautions contractuelles
Interne
// droit du travail classique
Groupe Larcier / Lexing www.earlegal.be
4.
Quels aspects doivent être réglés
dans le contrat du DPD ?
48
www.earlegal.beGroupe Larcier / Lexing
Formalisme obligatoire ?
Confidentialité (Article 38 (5))
Externe : DPD = sous-traitant ?
( Mentions obligatoires ?)
 pas clair
Parfois mission mixte (DPD+ plateforme IT)
 prudent (amende et avenant ultérieurs)
www.earlegal.beGroupe Larcier / Lexing
Précisions utiles
Etendue de la mission
(incertitude)
Interne : accord sur
changement de
nature de la fonction
Charge de travail
Période de transition pour la mise
en oeuvre
Temps hebdomadaire
Rapporte au niveau de
décision le plus élevé
Qui ? Organisation concrète ?
www.earlegal.beGroupe Larcier / Lexing
Quant à la fin du contrat
Pas de durée minimale
G29 : importance de la stabilité du DPD
APD sera informée d’un changement de DPD
(externe) : mode de communication des infos
au nouveau prestataire
Licenciement : à ce stade, pas de dérogation à CCT 109
Rester attentif à future loi : charge de la preuve des motifs
Mode de calcul des avantages et d’obtention des promotions
(dans le règlement de travail) Pour éviter que refus soit considéré
comme une sanction déguisée
(externe) indemnisation forfaitaire en cas de résiliation injustifiée
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
Commune :
DPD externe
Filiale:
DPD interne
pour plusieurs
sociétés du
groupe
Confidentialité
Étendue mission
Modalités de
rapport avec la
direction
Durée contrat
Formalisme ST
Pers. phys. en charge
Communication au
nouveau prest.
Indemnisation forfaitaire
Responsabilité
Motifs possibles de fin
contrat + charge preuve
Changement de
fonction
Charge de travail
(Motifs
raisonnables de
licenciement)
www.earlegal.beGroupe Larcier / Lexing
Plan d’action
Obligation/o
pportunité de
désigner un
DPD
Procédure de
recrutement
interne
/externe
Adaptation
du contrat de
travail actuel
/ contrat de
service
Signaler à
APD

Contenu connexe

Tendances

Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018aucompte xavier
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsaYaline
 
earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données Lexing - Belgium
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesNet Design
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEFred Gerdil
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018AT Internet
 

Tendances (20)

Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
RGPD
RGPDRGPD
RGPD
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & Antaes
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 

En vedette

Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Les "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdLes "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdAndrea MARTELLETTI
 
SunTseu Café croissants Marketo 4/07/2017 - RGPD
SunTseu Café croissants Marketo 4/07/2017 - RGPDSunTseu Café croissants Marketo 4/07/2017 - RGPD
SunTseu Café croissants Marketo 4/07/2017 - RGPDSunTseu
 

En vedette (10)

Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
Les "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpdLes "nouveaux droits clients" dans le rgpd
Les "nouveaux droits clients" dans le rgpd
 
SunTseu Café croissants Marketo 4/07/2017 - RGPD
SunTseu Café croissants Marketo 4/07/2017 - RGPDSunTseu Café croissants Marketo 4/07/2017 - RGPD
SunTseu Café croissants Marketo 4/07/2017 - RGPD
 

Similaire à earlegal #5 - Radiographie du délégué 
à la protection des données


La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE  pptLa solution externalisée pour les TPE  ppt
La solution externalisée pour les TPE pptMartin Dupuy
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe  pptLa solution GDPR externalisée pour les tpe  ppt
La solution GDPR externalisée pour les tpe pptJeanny LUCAS
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 
Les bonnes pratiques RGPD complient pour sa prospection digitale
Les bonnes pratiques RGPD complient pour sa prospection digitale Les bonnes pratiques RGPD complient pour sa prospection digitale
Les bonnes pratiques RGPD complient pour sa prospection digitale Julien Dereumaux
 
CNIL : Consultation publique sur le Règlement européen Sur la protection de...
CNIL : Consultation publique  sur le  Règlement européen Sur la protection de...CNIL : Consultation publique  sur le  Règlement européen Sur la protection de...
CNIL : Consultation publique sur le Règlement européen Sur la protection de...Market iT
 
bpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfbpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfWafa Hammami
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILBpifrance
 
Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEpolenumerique33
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en brefThinkmarket
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUEDavidWalter44
 

Similaire à earlegal #5 - Radiographie du délégué 
à la protection des données
 (20)

La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE  pptLa solution externalisée pour les TPE  ppt
La solution externalisée pour les TPE ppt
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
La solution GDPR externalisée pour les tpe ppt
La solution GDPR externalisée pour les tpe  pptLa solution GDPR externalisée pour les tpe  ppt
La solution GDPR externalisée pour les tpe ppt
 
Alphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPDAlphorm.com Formation Comprendre le RGPD
Alphorm.com Formation Comprendre le RGPD
 
Rgpd et marketing digital
Rgpd et marketing digitalRgpd et marketing digital
Rgpd et marketing digital
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
Ifc jour 1 dpo
Ifc jour 1 dpoIfc jour 1 dpo
Ifc jour 1 dpo
 
Les bonnes pratiques RGPD complient pour sa prospection digitale
Les bonnes pratiques RGPD complient pour sa prospection digitale Les bonnes pratiques RGPD complient pour sa prospection digitale
Les bonnes pratiques RGPD complient pour sa prospection digitale
 
CNIL : Consultation publique sur le Règlement européen Sur la protection de...
CNIL : Consultation publique  sur le  Règlement européen Sur la protection de...CNIL : Consultation publique  sur le  Règlement européen Sur la protection de...
CNIL : Consultation publique sur le Règlement européen Sur la protection de...
 
bpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdfbpi-cnil-rgpd_guide-tpe-pme.pdf
bpi-cnil-rgpd_guide-tpe-pme.pdf
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
 
Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PME
 
Acerta GDPR pour les comptables
Acerta GDPR pour les comptablesAcerta GDPR pour les comptables
Acerta GDPR pour les comptables
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
Rgpd
RgpdRgpd
Rgpd
 

Plus de Lexing - Belgium

earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?Lexing - Belgium
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?Lexing - Belgium
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Lexing - Belgium
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...Lexing - Belgium
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?Lexing - Belgium
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...Lexing - Belgium
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeLexing - Belgium
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?Lexing - Belgium
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?Lexing - Belgium
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?Lexing - Belgium
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...Lexing - Belgium
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Lexing - Belgium
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Lexing - Belgium
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 

Plus de Lexing - Belgium (20)

earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 

earlegal #5 - Radiographie du délégué 
à la protection des données


  • 1. Radiographie du délégué à la protection des données Jean-François HENROTTE Fanny COTON
  • 2. www.earlegal.beGroupe Larcier / Lexing Cadre légal Aujourd’hui Directive 95/46 – Loi du 8/12/1992 Rares cas : conseiller en sécurité de l’information 25/05/2018 : Règlement général 2016/679 du 27/04/16 sur la protection des données (RGPD/GDPR) Délégué à la protection des données (DPD/DPO) Projet de loi belge : CPVP  Autorité de Protection des Données 2
  • 3. www.earlegal.beGroupe Larcier / Lexing Programme Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ? Quel DPD désigner ? Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ? Quels aspects doivent être réglés dans le contrat du DPD ? 3
  • 4. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Directeur général (ex secrétaire communal) se propose pour veiller à la mise en œuvre du RGPD • Doit-il y avoir un DPD ? • Si oui, le Directeur général peut-il être le DPD ? Commune de 10.000 habitants • 200 employés • Responsable IT est pressenti pour veiller à la mise en œuvre du RGPD Filiale belge d’une banque néerlandaise
  • 5. Groupe Larcier / Lexing www.earlegal.be 1. Dans quel cas une entreprise doit-elle désigner un DPD? 5
  • 6. www.earlegal.beGroupe Larcier / Lexing Enjeux 6 Amendes : maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent Réputation Confiance
  • 7. www.earlegal.beGroupe Larcier / Lexing Pas une question de taille de l’entreprise : (abandon du critère des 5.000 personnes concernées) Obligatoire dans 3 cas : MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires  risque de disparités nationales  À ce stade, pas de cas supplémentaire prévu par Loi belge (loi-cadre ?) Quand désigner un DPD ? (Art. 37 RGPD)
  • 8. www.earlegal.beGroupe Larcier / Lexing 1. Traitement par une autorité publique ou un organisme public Notion d’autorité publique ? RGPD : pas de définition  droit national // avec marchés publics ? Avis 243 G29 au sujet délégué à la protection des données  dès que mission d’intérêt public (// cons. 45)  Devrait se considérer comme autorité publique Hôpital public = autorité publique 8
  • 9. www.earlegal.beGroupe Larcier / Lexing 1. Suivi Tracking  géolocalisation des véhicules d’entreprise, contrôle utilisation d’internet, déplacements via transports en commun, objets connectés, vidéosurveillance Profilage Pour prise de décision  solvabilité, prévention des fraudes Ou pour prédire préférences/comportements  publicité comportementale, programme de fidélité Pas seulement en ligne 2. Régulier (fréquence) 3. Systématique (méthode) 4. A grande échelle Pas de nombre précis dans GDPR ou lignes directrices, seulement exemples (par un hôpital >< cabinet unipersonnel) facteurs à prendre en compte : Nombre de données Étendue géographique Durée 2. Suivi régulier et systématique à grande échelle des personnes concernées
  • 10. www.earlegal.beGroupe Larcier / Lexing 1. Données particulières Art 9 : données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données concernant la santé, des données génétiques, des données biométriques, des données concernant la vie sexuelle ou l'orientation sexuelle, Art. 10 relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, 2. A grande échelle 3. Traitement de données « particulières » à grande échelle
  • 12. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Autorité publique •  DPD obligatoire Commune de 10.000 habitants • Examen de solvabilité  DPD obligatoire • Vidéosurveillance  DPD obligatoire Filiale belge d’une banque néerlandaise
  • 13. www.earlegal.beGroupe Larcier / Lexing Quelle obligation pour le sous-traitant ? Mêmes cas obligatoires: Si le responsable de traitement doit designer un DPD, doit-il obligatoirement faire appel à un sous-traitant qui a désigné un DPD ?  NON  si chacun a un DPD  obl. de collaboration
  • 14. www.earlegal.beGroupe Larcier / Lexing En dehors de ces 3 cas 14 Choix SOIT : Désignation facultative Mission aussi étendue que si DPD obligatoire Aucun avantage pour RT/ST SOIT : Ne désigne pas de DPD Garder trace des éléments de décision (accountability) Eviter confusion si un employé en charge des questions de VP Evolution des activités et des traitements pourrait entraîner désignation obligatoire d’un DPD
  • 15. www.earlegal.beGroupe Larcier / Lexing Contrôle par APD  possibilité de contrôle par future APD (// projet de loi - actuellement CPVP) si aucune coordonnée reçue en mai 2018 15 Désignation obligatoire / Désignation facultative Mission englobe TOUS les traitements (pas seulement ceux qui relèvent des 3 cas obligatoires) Communica-tion des coordonnées du DPD à APD
  • 16. Groupe Larcier / Lexing www.earlegal.be 2. Quel DPD désigner ? 16
  • 17. www.earlegal.beGroupe Larcier / Lexing Pas de formation minimale Pas d’approbation préalable (>< Conseiller en sécurité de l’information) Expertise EXPERTISE en droit de la protection des données Connaissance du secteur d’activités/ des procédures administratives COMPREHENSION des activités de traitement Capacités personnelles
  • 18. www.earlegal.beGroupe Larcier / Lexing Pas en situation de conflits d’intérêts Peut exécuter d'autres tâches  attention aux conflits d’intérêts ! Interne >< poste de décision Pas juge et partie Conseiller en sécurité de l’information ? (Recom. APD)  amende de autorité bavaroise (manager IT) Examen préalable des postes conflictuels Documenter le processus Quid petites structures ? Externe Clients en conflit Peut aussi représenter en justice ou devant APD? NON  Déontologie avocat (>< autre prestataire externe) 18
  • 19. www.earlegal.beGroupe Larcier / Lexing Aucun impact sur les tâches, ni pour les personnes concernées Interne ou externe
  • 20. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Directeur général • Pas le temps de former qqn du service juridique • DPD externe Commune de 10.000 habitants • Responsable IT • Qqn du service juridique de la maison mère aux Pays-Bas ? Filiale belge d’une banque néerlandaise
  • 21. www.earlegal.beGroupe Larcier / Lexing Un seul DPD pour plusieurs entités ? Ok pour autant que : 1.Pas surchargé 2.Facilement joignable à partir de chaque lieu d'établissement 3.Communique avec APD et personnes concernées dans langue du pays où l’entité est située : G29 : toujours dans la langue de l’APD ou de la personne concernée : excessif si produit/service fourni dans une autre langue APD : peut se faire aider de traducteurs 21
  • 22. www.earlegal.beGroupe Larcier / Lexing G29 : ok pour autant que : répartition claire des tâches et 1 personne “en charge” Équipe multidisciplinaire plus efficace Langues Gestion des absences 1 DPD par branche d’activité, possible ? (ex : marchés publics/privés) Pas de réponse à ce stade  préférable équipe avec 1 responsable En équipe ?
  • 23. www.earlegal.beGroupe Larcier / Lexing Un DPD impliqué Associé à toutes les questions relatives à la protection des données à caractère personnel au plus tôt (privacy by design) Informer personnel à tous les niveaux Présenter DPD au management senior et intermédiaire Inviter DPD régulièrement aux réunions (au minimum quand décisions ont un impact sur la protection des données) Développer lignes directrices internes % quand consulter DPD Coordonnées de contact communiquées à tous les travailleurs
  • 24. www.earlegal.beGroupe Larcier / Lexing Un DPD outillé  Ressources nécessaires  Temps  Équipe  Matériel  Accès aux données à caractère personnel et aux opérations de traitement  Formation permanente
  • 25. www.earlegal.beGroupe Larcier / Lexing Un DPD écouté Support de la direction Si son avis n’est pas suivi : documenter pourquoi  Accountability
  • 26. www.earlegal.beGroupe Larcier / Lexing Un DPD indépendant et protégé Sanction : amende administrative (aucune indemnisation spécifique pour DPD) Quid si n’exécute pas correctement sa mission de DPD ? • Fait directement rapport au niveau le plus élevé de la direction • Aucune instruction, mais • pas de pouvoir décisionnel • pas d’obligation de dénonciation • Ne peut être licencié ou pénalisé (même simple menace) en raison de l'exercice de ses missions.
  • 27. Groupe Larcier / Lexing www.earlegal.be 3. Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ? 27
  • 28. www.earlegal.beGroupe Larcier / Lexing Article 39 : Mission minimale 28 CONSEIL DECISION CONSCIENTISATION INTERMEDIAIRE VERIFICATION Informer et conseiller sur les obligations qui leur incombent en vertu du RGPD et du droit belge % réalisation analyse d’impact Audits Sensibilisation Formation du personnel culture « vie privée » Point de contact pour l‘APD et personnes concernées Coopération avec l’APD
  • 29. www.earlegal.beGroupe Larcier / Lexing Quelles priorités ? Lignes directrices WP 243 du G 29 : DPD tient compte du risque associé aux opérations de traitement compte tenu de : la nature, la portée, du contexte et des finalités du traitement, Pas compliance parfaite immédiatement autorisation de négliger les “petits” traitements Détermination des risques Détermination de l’ampleur du travail à réaliser Priorités et traitements stratégiques 29
  • 30. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Traitements des données de la population • Traitement des données du personnel communal Commune de 10.000 habitants • Données relatives à la solvabilité • Vidéosurveillance • Traitements hors UE • Données accidents de travail • Données salariales Filiale belge d’une banque néerlandaise
  • 31. www.earlegal.beGroupe Larcier / Lexing Conseil 31 CONSEIL
  • 32. www.earlegal.beGroupe Larcier / Lexing Conseil documents contractuels Base juridique Consentement : explicite + termes clairs Enfants âgés de moins de 16 ans Obligation de transparence renforcée
  • 33. www.earlegal.beGroupe Larcier / Lexing Protection des données dès la conception Protection des données par défaut
  • 34. www.earlegal.beGroupe Larcier / Lexing Conscientisation 34 CONSCIENTISATION
  • 35. www.earlegal.beGroupe Larcier / Lexing Formation du personnel  Concepts  Risques  Nouvelle mentalité privacy by design/privacy by default  Réflexe de consulter le DPD  Délai de 8 semaines nécessaire pour avis préalable  Procédures mises en place  Simulation d’une brèche de sécurité  Simulation d’une « descente » de la Commission Vie Privée
  • 36. www.earlegal.beGroupe Larcier / Lexing Vérification 36 VERIFICATION
  • 37. www.earlegal.beGroupe Larcier / Lexing Registre des activités de traitement 37 La tenue du registre ne fait pas partie de la mission de base Responsabilité du RT/ST APD : DPD doit être impliqué dans le processus Nom et données de contact du DPD mentionnées dans le registre
  • 38. www.earlegal.beGroupe Larcier / Lexing Analyse d’impact 38 La réalisation de l’analyse d’impact ne fait pas partie de la mission de base du DPD DPD donne son avis sur demande sur : • Obligation procéder à AIPD • Méthodologie • In house/outsourcing ? • Mesures de sécurité • Si AIPD correctement réalisée • Si nécessite un avis préalable de APD APD : même si DPD chargé de realiser l’analyse d’impact : pas une tâche solitaire, mais collective
  • 39. www.earlegal.beGroupe Larcier / Lexing En cas de violation de données 39 • Conseil sur obligation ou non de notifier • Respect délai • Façon dont l’incident est documenté • Notification contient les données de contact du délégué
  • 40. www.earlegal.beGroupe Larcier / Lexing Audits Audits réguliers Nouveaux traitements Effacement données plus justifiées Renouvellement AI tous les 3 ans (G29) (APD : tous les 2 ans) DPD interne : Échéancier de tâches sur l’année DPO externe : Audit ponctuel
  • 41. www.earlegal.beGroupe Larcier / Lexing Obligation de dénonciation ? DPD doit-il alerter APD si on ne suit pas ses avis?  Pas d’obligation de dénoncer  Mettre fin à la mission // conseiller en sécurité de l’information Dénonciation incompatible avec secret professionnel de l’avocat 41
  • 42. www.earlegal.beGroupe Larcier / Lexing Intermédiaire 42 INTERMEDIAIRE
  • 43. www.earlegal.beGroupe Larcier / Lexing Point de contact pour APD Pouvoirs APD : Demande de renseignements Accès aux locaux Accès à la documentation Coopération : faciliter accès aux documents et fournir information  DPD ne doit pas traiter lui-même les demandes, mais s’assurer qu’on y répond + Consultation préalable + en cas violation de données
  • 44. www.earlegal.beGroupe Larcier / Lexing Point de contact pour les personnes concernées DPD ne doit pas traiter lui-même les demandes, mais • s’assurer qu’on y répond • dans les 30 jours • transmettre les demandes aux destinataires des données
  • 45. www.earlegal.beGroupe Larcier / Lexing Missions supplémentaires possibles : Tenue registre Réalisation analyse d’impact Collaboration avec DPD de clients potentiels Rédaction de clauses Réponse aux requêtes des personnes concernées Rédaction de procedures types Gestion des litiges en matière de vie privée … 45
  • 46. www.earlegal.beGroupe Larcier / Lexing Pas de pouvoir décisionnel 46 DECISION
  • 47. www.earlegal.beGroupe Larcier / Lexing Responsabilité DPD pas personnellement responsable de l’infraction commise par RT/ST (pas de pouvoir décisionnel) Externe Responsabilité contractuelle Responsabilité pénale ? Infraction volontaire ou complicité  Précautions contractuelles Interne // droit du travail classique
  • 48. Groupe Larcier / Lexing www.earlegal.be 4. Quels aspects doivent être réglés dans le contrat du DPD ? 48
  • 49. www.earlegal.beGroupe Larcier / Lexing Formalisme obligatoire ? Confidentialité (Article 38 (5)) Externe : DPD = sous-traitant ? ( Mentions obligatoires ?)  pas clair Parfois mission mixte (DPD+ plateforme IT)  prudent (amende et avenant ultérieurs)
  • 50. www.earlegal.beGroupe Larcier / Lexing Précisions utiles Etendue de la mission (incertitude) Interne : accord sur changement de nature de la fonction Charge de travail Période de transition pour la mise en oeuvre Temps hebdomadaire Rapporte au niveau de décision le plus élevé Qui ? Organisation concrète ?
  • 51. www.earlegal.beGroupe Larcier / Lexing Quant à la fin du contrat Pas de durée minimale G29 : importance de la stabilité du DPD APD sera informée d’un changement de DPD (externe) : mode de communication des infos au nouveau prestataire Licenciement : à ce stade, pas de dérogation à CCT 109 Rester attentif à future loi : charge de la preuve des motifs Mode de calcul des avantages et d’obtention des promotions (dans le règlement de travail) Pour éviter que refus soit considéré comme une sanction déguisée (externe) indemnisation forfaitaire en cas de résiliation injustifiée
  • 52. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs Commune : DPD externe Filiale: DPD interne pour plusieurs sociétés du groupe Confidentialité Étendue mission Modalités de rapport avec la direction Durée contrat Formalisme ST Pers. phys. en charge Communication au nouveau prest. Indemnisation forfaitaire Responsabilité Motifs possibles de fin contrat + charge preuve Changement de fonction Charge de travail (Motifs raisonnables de licenciement)
  • 53. www.earlegal.beGroupe Larcier / Lexing Plan d’action Obligation/o pportunité de désigner un DPD Procédure de recrutement interne /externe Adaptation du contrat de travail actuel / contrat de service Signaler à APD

Notes de l'éditeur

  1. Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent  Certification = pas de diminution de la responsabilité mais un des facteurs à prendre en compte lors fixation amende (art. 83.2.j)
  2. Art 9 : données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques l'appartenance syndicale, des données concernant la santé des données génétiques, des données biométriques des données concernant la vie sexuelle ou l'orientation sexuelle Art. 10 relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
  3. Art 9 : données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques l'appartenance syndicale, des données concernant la santé des données génétiques, des données biométriques des données concernant la vie sexuelle ou l'orientation sexuelle Art. 10 relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
  4. Projet de loi et articulation avec dia 27
  5. every form, direct or indirect, of penalty: absence or delay of promotion, prevention from career advancement, denial from benefits that other employees receive, transfer to another function or office
  6. In Belgium, the Flemish Control Commission for Data Transmission between Administrations states that the Security Counsellor for the Information System must dedicate, as a minimum, 4 hours a week per organisation. GDPR, art. 39(2).
  7. Nouvelles informations à fournir : Base juridique du traitement Délai de conservation ou les paramètres permettant de déterminer le délai de conservation Coordonnées du DPD Le droit de retirer son consentement Le droit d'introduire une réclamation auprès de l'autorité de contrôle La finalité du traitement ultérieur et les éléments d'information pertinents relatifs à ce traitement ultérieur L'existence d'une prise de décision automatisée Des informations sur les nouveaux droits et le droit d'opposition
  8. La notion de privacy by design signifie la prise en compte, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des exigences en matières de protection des données et de mettre en œuvre les mesures techniques et organisationnelles appropriées. La notion de privacy by default consiste à s’assurer que, par défaut, seules les données nécessaires au regard de chaque finalité déterminée sont traitées. La mise en œuvre de ces principes requiert que soient prises des mesures consistant notamment à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de superviser le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.
  9. pas obligatoire pour les organisations comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des données « particulières » Mais 1ère pierre de l’accountability
  10. Prérequis obligatoire dès que le traitement présente un risque élevé pour les droits et libertés des personnes concernées si l’on ne prévoit pas de mesures de protection adéquate (projet de recommandation CPVP + cons. 75) Notamment : l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire; ex: publicité envoyée par la compagnie le traitement à grande échelle de données particulières Les autorités de contrôle nationales doivent/peuvent établir une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est/n’est pas requise (cfr. projet de recommandation CPVP) AIPD doit contenir: description systématique des opérations de traitement envisagées et des finalités du traitement; évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités; évaluation des risques pour les droits et libertés des personnes concernées Consultation de la CPVP ; mesures envisagées pour faire face aux risques Si risque subsiste : Consultation CPVP qui rend un avis dans un délai de 8 semaines Si avis négatif  revoir le traitement projeté et soumettre à nouveau à l’avis de la CPVP. Prendre en compte ce délai dans le développement de nouveaux produits/services.
  11. Signaler fuite de données à la Commission Vie Privée et à la personne concernée Décrire la nature de la violation de données, les catégories et le nb de personnes concernées, décrire les csq probables et les mesures prises pour y remédier, communiquer les coordonnées du DPO Brefs délais (si possible, dans les 72h de la prise de connaissance) Limiter les conséquences négatives d’une fuite de données (chiffrement de données par exemple)  réagir vite : procédure à préparer former le personnel mécanismes de certification approuvés ont influence sur amende