PoissonPilote - INIZIA - Présentation données personnelles mai 2016

Données personnelles :
les clés
pour ne pas être
HORS-LA-LOI
Stratégie et communication numériques
Etudes, conseil, formation
Correspondant informatique et libertés externe
Dispositif légal et réglementaire, bonnes pratiques,
évolutions européennes

PROTÉGER LES LIBERTÉS
INDIVIDUELLES
Le cadre légal et règlementaire
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
2

La situation actuelle en Europe…
Le droit à la protection des données et à la vie privée est
gravé dans le marbre par le traité de l’Union européenne de
Lisbonne du 13 décembre 2007, devenant ainsi un droit
constitutionnel.
Mais une simple directive européenne, datant de 1995,
diversement transposée dans les législations des 28 :
§ limites aux transferts de données hors UE,
§ amendes encourues,
§ fonctionnement des autorités de contrôle,
§ traitement des données de santé,
§ rigueur de la définitionmême des données personnelles…
Sous le contrôle du G29
25/05/2016
3

… et en France
En août 2004, refonte complète de la loi informatique et
liberté de 1978, en traduction de la directive européenne
§ Un cadre insuffisamment protecteur pour les citoyens…
§ … mais encore contraignant pour les entreprises (déclarations)
§ malgré la prééminence d’une logique de contrôle a posteriori
Depuis, de nombreux amendements et adaptations, l’ajout
de la LCEN… Conséquence :
§ un dispositif légal et règlementaire déséquilibré
§ insuffisammentconnu des chefs d’entreprises
§ et illisible pour les citoyens et les consommateurs
25/05/2016
4

DE QUOI PARLE-T-ON ?
Les mots-clés « informatique et libertés »
25/05/2016
5

Quelques éléments de sémantique…
Donnée « à caractère personnel »
Pseudonymisation
Traitement de données
Responsable de traitement
Finalité, proportionnalité & pertinence
Données sensibles
25/05/2016
6

Vos obligations
Déclarer
§ 3 régimes déclaratifs
§ Logique de contrôle à posteriori
Informer
Obtenir le consentement (optin prospection et traceurs)
Respecter une durée de conservation
Assurer la sécurité physique et logique des données
25/05/2016
7

Vos obligations
Droit à l’information (au moment de la collecte)
Droit d’accès et de rectification
Droit d’accès indirect (sûreté de l’Etat, défense, sécurité
publique)
Droit d’opposition (sauf obligation légale)
Droit à la tranquillité (pas de prospection commerciale)
Droit à l’oubli (renforcé par le droit au déréférencement)
25/05/2016
8

Surprise : contrôle !
Des contrôles renforcés depuis 2013
§ 421 contrôles diligentés en 2014 (+ 20 % par rapport à 2011)
§ Une opération spécifique de contrôle en ligne sur les cookies effectuée en
septembre 2014 (20 mises en demeure)
§ Un programme 2015 renforcé par le lancement du contrôle en ligne
4 principaux motifs de contrôle :
§ Programme annuel
§ Plaintes répétées
§ Signalement interne
§ Ciblage
25/05/2016
9

Un régime de sanctions proportionné
Mises en demeure, avis, lettres de clôture : priorité à la
prévention
Les sanctions pécuniaires : sanctionner la mauvaise foi et
les récidivistes
Renvoi au parquet, application de sanctions pénales : des
cas rarissimes
25/05/2016
10

UNIFORMISATION EUROPÉENNE
À L’HORIZON 2018
Une évolution majeure
25/05/2016
11

Les objectifs du règlement européen promulgué en 2016
Créer un corpus unique de règles relatives à la protection
des données, valable dans toute l’Union
Supprimer ou alléger les obligations administratives
inutiles
Sensibiliser et responsabiliser les responsables de
traitements de données personnelles
Renforcer la maîtrise de leurs données par les citoyens, la
transparence et la traçabilitédes traitements
25/05/2016
12

Ce qui va changer pour les citoyens
La consécration du droit à l’oubli
La facilitation du droit d’accès et l’instauration du droit à
la portabilité des données personnelles
La généralisation du consentement explicite
La possibilité de s’adresser à son autorité de contrôle
nationale pour toute démarche, y compris sur des données
traitées par des instances hors UE
25/05/2016
13

Ce qui va changer pour les entrepreneurs
Un interlocuteurunique : l’autorité de contrôle du pays dans lequel se trouve
l’établissement principal
La nécessité :
§ d’engager des études d’impact pour tout traitement de données personnelles sensibles
§ de mettre en place une politique de Privacy by design pour tous les projets informatiques
La notificationobligatoireà l’autorité de contrôle et aux personnes
concernées de toute violationde données personnelles,et la solidarisation
des sous-traitants avec leur responsable de traitement
Des amendes considérables en cas de manquement grave et répété : jusqu’à
2% du chiffre d’affaires global mondial
Le recrutement obligatoire d’unDPO à partir d’un certainseuil
25/05/2016
14

LE DPO / CIL
AU CŒUR DU DISPOSITIF
Améliorer sa protection,anticiper les changements
25/05/2016
15

Une plaque tournante entre les différents acteurs
25/05/2016
16
CNIL
Responsable
de traitements
Services
chargés
de la mise
en oeuvre
Personnes fichées
----------
----------
----------
Mise à jour
du registre
Alerte si besoin
Consultation
Projet
Recommandations
Formalités
(autorisations,
avis)
Demande
d’accès
Information
Rapport annuel
Contact
privilégié
Aide

Fluidifier, anticiper, rassurer
Exonération de certaines obligations déclaratives
Accès facilité à la commission
Anticipation de l’évolution des dossiers sensibles
Rôle d’alerte
Désigner un CIL/DPO externe :
Sont éligibles:
§ les entreprises de moins de 50 salariés
§ dont le siège social se trouve en France
Désignation en ligne après signature d’un contrat de
prestation de services
25/05/2016
17

Merci !
jmn@lepoissonpilote.com
06 86 67 30 38

PoissonPilote - INIZIA - Présentation données personnelles mai 2016

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (18)

En vedette

En vedette (20)

Similaire à PoissonPilote - INIZIA - Présentation données personnelles mai 2016

Similaire à PoissonPilote - INIZIA - Présentation données personnelles mai 2016 (20)

PoissonPilote - INIZIA - Présentation données personnelles mai 2016