PoissonPilote - INIZIA - Présentation données personnelles mai 2016
1. Données personnelles :
les clés
pour ne pas être
HORS-LA-LOI
Stratégie et communication numériques
Etudes, conseil, formation
Correspondant informatique et libertés externe
Dispositif légal et réglementaire, bonnes pratiques,
évolutions européennes
3. La situation actuelle en Europe…
Le droit à la protection des données et à la vie privée est
gravé dans le marbre par le traité de l’Union européenne de
Lisbonne du 13 décembre 2007, devenant ainsi un droit
constitutionnel.
Mais une simple directive européenne, datant de 1995,
diversement transposée dans les législations des 28 :
§ limites aux transferts de données hors UE,
§ amendes encourues,
§ fonctionnement des autorités de contrôle,
§ traitement des données de santé,
§ rigueur de la définitionmême des données personnelles…
Sous le contrôle du G29
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
3
4. … et en France
En août 2004, refonte complète de la loi informatique et
liberté de 1978, en traduction de la directive européenne
§ Un cadre insuffisamment protecteur pour les citoyens…
§ … mais encore contraignant pour les entreprises (déclarations)
§ malgré la prééminence d’une logique de contrôle a posteriori
Depuis, de nombreux amendements et adaptations, l’ajout
de la LCEN… Conséquence :
§ un dispositif légal et règlementaire déséquilibré
§ insuffisammentconnu des chefs d’entreprises
§ et illisible pour les citoyens et les consommateurs
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
4
5. DE QUOI PARLE-T-ON ?
Les mots-clés « informatique et libertés »
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
5
6. Quelques éléments de sémantique…
Donnée « à caractère personnel »
Pseudonymisation
Traitement de données
Responsable de traitement
Finalité, proportionnalité & pertinence
Données sensibles
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
6
7. Vos obligations
Déclarer
§ 3 régimes déclaratifs
§ Logique de contrôle à posteriori
Informer
Obtenir le consentement (optin prospection et traceurs)
Respecter une durée de conservation
Assurer la sécurité physique et logique des données
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
7
8. Vos obligations
Droit à l’information (au moment de la collecte)
Droit d’accès et de rectification
Droit d’accès indirect (sûreté de l’Etat, défense, sécurité
publique)
Droit d’opposition (sauf obligation légale)
Droit à la tranquillité (pas de prospection commerciale)
Droit à l’oubli (renforcé par le droit au déréférencement)
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
8
9. Surprise : contrôle !
Des contrôles renforcés depuis 2013
§ 421 contrôles diligentés en 2014 (+ 20 % par rapport à 2011)
§ Une opération spécifique de contrôle en ligne sur les cookies effectuée en
septembre 2014 (20 mises en demeure)
§ Un programme 2015 renforcé par le lancement du contrôle en ligne
4 principaux motifs de contrôle :
§ Programme annuel
§ Plaintes répétées
§ Signalement interne
§ Ciblage
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
9
10. Un régime de sanctions proportionné
Mises en demeure, avis, lettres de clôture : priorité à la
prévention
Les sanctions pécuniaires : sanctionner la mauvaise foi et
les récidivistes
Renvoi au parquet, application de sanctions pénales : des
cas rarissimes
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
10
12. Les objectifs du règlement européen promulgué en 2016
Créer un corpus unique de règles relatives à la protection
des données, valable dans toute l’Union
Supprimer ou alléger les obligations administratives
inutiles
Sensibiliser et responsabiliser les responsables de
traitements de données personnelles
Renforcer la maîtrise de leurs données par les citoyens, la
transparence et la traçabilitédes traitements
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
12
13. Ce qui va changer pour les citoyens
La consécration du droit à l’oubli
La facilitation du droit d’accès et l’instauration du droit à
la portabilité des données personnelles
La généralisation du consentement explicite
La possibilité de s’adresser à son autorité de contrôle
nationale pour toute démarche, y compris sur des données
traitées par des instances hors UE
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
13
14. Ce qui va changer pour les entrepreneurs
Un interlocuteurunique : l’autorité de contrôle du pays dans lequel se trouve
l’établissement principal
La nécessité :
§ d’engager des études d’impact pour tout traitement de données personnelles sensibles
§ de mettre en place une politique de Privacy by design pour tous les projets informatiques
La notificationobligatoireà l’autorité de contrôle et aux personnes
concernées de toute violationde données personnelles,et la solidarisation
des sous-traitants avec leur responsable de traitement
Des amendes considérables en cas de manquement grave et répété : jusqu’à
2% du chiffre d’affaires global mondial
Le recrutement obligatoire d’unDPO à partir d’un certainseuil
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
14
15. LE DPO / CIL
AU CŒUR DU DISPOSITIF
Améliorer sa protection,anticiper les changements
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
15
16. Une plaque tournante entre les différents acteurs
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
16
CNIL
Responsable
de traitements
Services
chargés
de la mise
en oeuvre
Personnes fichées
----------
----------
----------
Mise à jour
du registre
Alerte si besoin
Consultation
Projet
Recommandations
Formalités
(autorisations,
avis)
Demande
d’accès
Information
Rapport annuel
Contact
privilégié
Aide
17. Fluidifier, anticiper, rassurer
Exonération de certaines obligations déclaratives
Accès facilité à la commission
Anticipation de l’évolution des dossiers sensibles
Rôle d’alerte
Désigner un CIL/DPO externe :
Sont éligibles:
§ les entreprises de moins de 50 salariés
§ dont le siège social se trouve en France
Désignation en ligne après signature d’un contrat de
prestation de services
25/05/2016
JM Nazarenko – Le Poisson Pilote, conseil en stratégie numérique
17