Le document traite de la préparation à la réglementation GDPR, soulignant l'importance de se conformer d'ici mai 2018 en anticipant et en mettant en place des programmes de conformité. Il détaille les nouvelles obligations et les sanctions potentielles pour non-respect, ainsi que les principes de 'privacy by design' et 'privacy by default'. Enfin, il aborde le profilage et la monétisation des données, en insistant sur les droits des individus face à leur traitement.

1. © Bird & Bird LLP 2017
Data Consumer
Se préparer à la nouvelle règlementation
GDPR
Par Mérav Griguer
Avocat associée
4 octobre 2017

2. GDPR : plus que 7 mois pour se mettre en
conformité

3. Page 3
Les nouvelles obligations
Nouveaux
droits
Notification
des violations
New OPT-
IN
Co-
responsab
ilité
DPO
Information
renforcée
PIA
Privacy by
design/ by
default
Registres
de
traitements

4. Page 4
Les pilliers de la protection des données
Sécurité&
Confidentialité
Droit des
personnes
Privacy
by design/
by default
Base légale
Politiques et procédures
PIA
Gouvernance &
Management des
données
● Anticiper et mettre en place
des programmes de
conformité afin d'être prêt
au 25 mai 2018
 Premières opérations
de contrôle par les
autorités de protection
des données

5. GDPR : Enjeux & Risques

6. Page 6
Augmentation des sanctions
GDPR – Nouveau règlement européen d'application directe
en mai 2018
Cas de violations Sanctions Financières
1ere catégorie :
● Manquement à l'obligation de traitement loyal
des données collectées, traitement de données
sensibles ;
● Absence d'information / consentement,
● Manquement aux droits d'accès, de rectification,
d'opposition, au droit à l'oubli, au droit à la
portabilité des données… ;
● Non respect des règles relatives au transfert de
données à caractère personnel dans un pays tiers ;
● Non respect d'une injonction de la CNIL.
Jusqu'à 4% du chiffre
d'affaires mondial annuel
de l'entreprise
20 millions d'€ pour les
autres
2nde catégorie :
Les autres manquements : défaut de tenue du registre
des traitements ; absence de notification d'une faille
de sécurité, manquement à l'obligation de sécurité,
absence de "Privacy by design", absence d'étude
d'impact, non-désignation d'un délégué à la
protection des données personnelles….
Jusqu'à 2% du chiffre
d'affaires mondial annuel
de l'entreprise
10 millions d'€ pour les
autres
Nouvelle loi
Informatique
et Libertés
(issue de la loi
Lemaire) :
sanctions de la
CNIL jusqu'à 3
millions
d'euros
+ Class Action

7. E-reputation
Page 7
20.000 € 10.000 €
45.000 €
Avertissement
public
50.000 €
20.000 €
15.000 €
Avertissement
public
Avertissement
public Avertissement
public
Avertissement
public
40.000 €40.000 €

8. E-reputation
Page 8
Avertissement
public
100.000 €,
150.000 € …
150.000 €

9. Page 9
E-reputation
Mise en demeure
publique
Avertissement
public

10. Actions de groupe
Page 10
● Déjà présentes dans la loi
Informatique et Libertés depuis
novembre 2016
 Permettent de faire cesser le
manquement à la loi I&L
 Dommages et intérêts ?
● GDPR prévoit la possibilité de se
faire représenter individuellement
par un organisme, une
organisation ou une association
afin d'obtenir réparation (art. 80)

11. Focus sur les impacts du GDPR

12. Privacy by design
Page 12
Subject matter | Client Details© Bird & Bird LLP 2017
● Se traduit par « protection des données dès la conception »
● Mise en œuvre des mesures techniques et organisationnelles
permettant d'assurer une protection des données au début, et
tout au long, du cycle de vie d'une application ou solution
● Exemples de mesures:
• Minimisation des données collectées
• Ajout d'un contrôle pour recueillir le consentement de la
personne
• Ajout des mentions d'information sur l'interface graphique
• Chiffrement des données lorsque nécessaire
• « Pseudonymisation » : remplacement d'une donnée à
caractères personnel par un pseudonyme
• Suppression automatique des données à la fin de leur durée
de conservation
Privacy by default :
Ne collecter et traiter,
par défaut,
qu'exclusivement les
données à caractère
personnel strictement
nécessaires à la
finalité poursuivie
par le traitement.

13. La monétisation des données
Page 13
Valorisation interne
● Nouvelle définition du profilage : "toute forme de traitement automatisé de
données personnelles consistant à utiliser ces données pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou prédire
des éléments concernant le rendement au travail, la situation économique, la santé,
les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation
ou les déplacements de cette personne physique"
• Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation des
rendements, scoring…
● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre
● Monétisation : valorisation des données
par l'entreprise qui les détient
• … soit dans le cadre de sa propre
activité (big data, profilage)
• … soit par leur partage avec des tiers
(vente de fichiers, mise à disposition)

14. Le profilage
Page 14
Traitement
de données
automatisé,
pour évaluer,
prédire, analyser
des personnalités,
des comportements
PROFILAGE
● Information de la personne concernée sur l'existence du profilage, sa logique sous-
jacente et ses conséquences prévues (art. 13)
● Droit de s'opposer au profilage lié à des fins de prospection (art. 21)
● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et
affectant de manière significative la personne concernée (art. 22)
• PIA obligatoire pour ces traitements (art. 35)

15. Le profilage et la publicité ciblée
Page 15
Stockage et
accès aux
cookies
Profilage
(traitement
des données)
Envoi de
communications
commerciales
Opt-in
Opt-in
Opt-in
Opt-out
(au-delà de la première
vente, pour des produits
ou services analogues)
● Articulation du GDPR et du Code
des Postes et des Communications
Electroniques
• Utilisation de cookies :
consentement obligatoire de
l'utilisateur (opt-in)
• Envoi de communications
commerciales : consentement
obligatoire (opt-in) sauf
exception pour l'offre de
produits et services analogues
à ceux déjà vendus (opt-out)
● Proposition de règlement
"e-Privacy" du 10 janvier 2017 :
harmonisation de ces règles dans
toute l'UE

16. Merav Griguer
Avocat Associée
Direct +33 1 42 68 6706
Mob +33 6 16 71 1485
merav.griguer@twobirds.com
@MeravGriguer
Merci !