SlideShare une entreprise Scribd logo
Le Règlement Européen Général sur
la Protection des Données (RGPD)
L’essentiel
Mai 2018
LIENS UTILES
Site de la CNIL
(https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-
les-professionnels)
Guide pratique établi par la CNIL et le BPI
(https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf)
Objectifs et enjeux du RGPD
Quelques précisions utiles
1. Qu’est ce que le traitement des données ?
2. Qu’est qu’une donnée personnelle ?
3. Droit des personnes dont les données sont collectées ?
Qui est concerné par le RGPD ?
Quelles sont les données concernées?
Quels changements apporte le RGPD ?
Comment se conformer au RGPD ?
1. Tenir un registre des traitements
2. Informer les personnes concernées
3. Respecter les droits des personnes concernées
4. Sécuriser les données
5. Désigner un Délégué à la protection des données (DPO)
Cas des données à risques
Transfert des données personnelles hors UE
Les risques encourus
APERÇU
LE RGPD : OBJECTIFS ET ENJEUX
• Harmonisation des règles au niveau de l’Union
Européenne
• Renforcement des droits des personnes
• Responsabilisation des acteurs traitant de données
personnelles
→ Entrée en vigueur le 25 mai 2018
QUELQUES PRÉCISIONS UTILES : QU’EST-CE QUE
LE TRAITEMENT DE DONNÉES PERSONNELLES ?
• Toute opération portant sur des données personnelles
• Quelque soit le procédé utilisé : collecte, enregistrement,
modification, extraction, communication, diffusion ….
• Quelque soit le format : numérique, papier…
→ Exemples : collecte/enregistrement de données personnelles pour l’envoi de
newsletters, la livraison d’une commande, l’embauche d’un salarié…
QUELQUES PRÉCISIONS UTILES : QU’EST-CE
QU’UNE DONNÉE PERSONNELLE ?
Toute information se rapportant :
•à une personne physique identifiée ou identifiable,
•que ce soit directement ou indirectement,
•à partir d’une seule donnée ou d’un croisement de
données
→ Exemples : nom, prénom, numéro de téléphone, données culturelles,
données génétiques, données bancaires …
QUELQUES PRÉCISIONS UTILES : DROITS DES
PERSONNES DONT LES DONNÉES SONT
COLLECTÉES
• Droit d’opposition (par ex. à la réutilisation des données
à des fins commerciales)
• Droit d’accès et de rectification
• Droit d’effacement
• Droit à la portabilité (nouveauté du RGPD)
• Droit à la limitation du traitement
Tous les organismes qui traitent des données personnelles
et les sous-traitants dès lors qu’ils :
-sont établis sur le territoire de l’Union européenne
OU
-ciblent directement des résidents de l’Union européenne
LE RGPD : QUI EST CONCERNÉ ?
Toutes les données dont :
-les données des consommateurs ;
-les données des salariés (embauche, évaluation,
rémunération, gestion…) ;
-les données des partenaires (sous-traitant, visiteurs,
prestataires)
LE RGPD : LES DONNÉES CONCERNÉES
LE RGPD : QUELS CHANGEMENTS ?
• Allègement des formalités administratives (not.,
disparition de la déclaration/autorisation préalable
auprès de la CNIL sauf cas particulier)
• Responsabilisation des acteurs du traitement
• Sanctions renforcées
COMMENT SE CONFORMER AU RGPD ?
1. Tenir un registre des traitements
2. Informer les personnes concernées
3. Respecter les droits des personnes concernées
4. Sécuriser les données
5. Désigner un Délégué à la protection des données
(DPO)
1. Tenir un registre des traitements
• Le traitement ne doit porter que sur les données
pertinentes par rapport à l’objectif pour lequel elles sont
collectées (principe de minimisation)
• Le registre listant tous les traitements de données mis
en œuvre par l’entreprise doit être tenu à jour
• Pour cela, les activités principales de l’entreprise qui
nécessitent un traitement de données doivent être
identifiées
→ Exemples : gestion des clients, gestion des commandes et livraisons,
recrutement, gestion de la paie, …)
1. Tenir un registre des traitements
• Créer une fiche
détaillée pour
chaque activité
précisant les
éléments suivants
la finalité du traitement
les types de données traitées ;
les personnes ayant accès aux données
la durée de conservation des données
les transferts éventuels avec l’origine et la
destination des données (transferts hors
UE)
→ Pour un modèle de registre, voir le site de la CNIL https://www.cnil.fr/fr/cartographier-vos-
traitements-de-donnees-personnelles
→ NB : il n’est pas nécessaire de mentionner les traitements ponctuels sur le registre
2. Informer les personnes concernées
• A chaque collecte de données, indiquer :
- la finalité de la collecte ;
- le fondement juridique (consentement de la personne concernée
notamment pour l’utilisation des données à des fins de prospection
commerciale ; obligation légale ; obligation contractuelle…) ;
- le responsable du traitement et le destinataire des données ;
- la durée de conservation des données ;
- les droits des personnes concernées ;
- le cas échéant, l’existence d’un transfert de données hors UE
• Possibilité de renvoyer à une politique de confidentialité
3. Respecter les droits des personnes concernées
• Donner la possibilité d’exercer effectivement leurs
droits
• Prévoir, par exemple, une adresse de messagerie
spécifique
• En interne, prévoir un processus permettant de
répondre rapidement aux demandes
4. Sécuriser les données
• Prendre les mesures nécessaires pour assurer la sécurité
des données (logiciels, antivirus…)
• Signaler à la CNIL toute violation de données pouvant
présenter un risque pour les droits et libertés des personnes
concernées (piratage, divulgation, perte, destruction, accès
ou modification non autorisé…) dans les 72 heures de la
violation
• Informer les personnes concernées si le risque est élevé
pour leurs droits et libertés
5. Désigner un délégué à la protection des données
(DPO) : quand ?
• Obligatoire pour :
- les organismes publics
- les entreprises dont l’activité les amène à réaliser un suivi
régulier et systématique des personnes ou à traiter à grande
échelle des données dites « sensibles » ou relatives à des
condamnations pénales et infractions
• Fortement recommandé pour les autres entreprises
• A tout le moins, désigner une personne en charge de la
mise en conformité au règlement européen
5. Désigner un DPO : ses missions
- Informer et conseiller le responsable de traitement ou le
sous-traitant
- Contrôler le respect du RGPD et des lois relatives à la
protection des données
- Réaliser l’inventaire des traitements de données
- Coopérer avec l’autorité de contrôle
• Personnes traitant des données personnelles pour le
compte d’un autre organisme
Précisions relatives aux sous-traitants
• Obligations
spécifiques
Assurer un protection effective des données
Conseiller leurs clients sur la protection des
données
Tenir un registre des activités de traitements
réalisés pour le compte de leurs clients en plus du
registre concernant leur propre traitement
Prévoir un contrat avec une clause spécifique sur
la protection des données personnelles
•Vigilance particulière et sécurisation renforcée
•Les données à risques comprennent les données sensibles
(origine raciale ou ethnique ; opinions politiques ou
religieuses ; appartenance syndicale ; orientation sexuelle ;
santé ; génétique)
•Selon les cas, réaliser une analyse d’impact sur la
protection des données à risque avant le traitement des
données
•Consultation obligatoire de la CNIL lorsque l’analyse
d'impact indique que le risque serait élevé si le responsable
du traitement ne prend pas les mesures adéquates
CAS DES DONNÉES À RISQUE
TRANSFERT DE DONNÉES PERSONNELLES HORS
UE
La Commission a constaté que le
pays en question assure un niveau
de protection adéquat
La Commission a constaté que le
pays en question assure un niveau
de protection adéquat
Pas de décision de la CommissionPas de décision de la Commission
Pas de décision de la Commission
ni de garanties appropriées –
Dérogations pour des cas
particuliers
Pas de décision de la Commission
ni de garanties appropriées –
Dérogations pour des cas
particuliers
Transfert hors UE
possible sans
autorisation
(liste des pays reconnus
par la Commission
européenne disponible
sur le site de la CNIL :
https://www.cnil.fr/fr/l
a-protection-des-
donnees-dans-le-
monde)
Transfert hors UE
possible sans
autorisation
(liste des pays reconnus
par la Commission
européenne disponible
sur le site de la CNIL :
https://www.cnil.fr/fr/l
a-protection-des-
donnees-dans-le-
monde)
Transfert hors UE
possible:
- Selon les cas, avec ou
sans autorisation et ;
- Uniquement si des
garanties appropriées ont
été prévues et ;
- A la condition que les
personnes concernées
disposent de droits
opposables et de voies de
droit effectives
Transfert hors UE
possible:
- Selon les cas, avec ou
sans autorisation et ;
- Uniquement si des
garanties appropriées ont
été prévues et ;
- A la condition que les
personnes concernées
disposent de droits
opposables et de voies de
droit effectives
Transfert hors UE possible
notamment si :
- Consentement explicite de
la personne concernée,
après l’avoir informée des
risques du transfert ;
- Transfert nécessaire à
l'exécution d'un contrat
entre la personne
concernée et le
responsable du traitement ;
- Transfert nécessaire à
l'exercice de droits en
justice
Transfert hors UE possible
notamment si :
- Consentement explicite de
la personne concernée,
après l’avoir informée des
risques du transfert ;
- Transfert nécessaire à
l'exécution d'un contrat
entre la personne
concernée et le
responsable du traitement ;
- Transfert nécessaire à
l'exercice de droits en
justice
•Vérifier que le pays dispose d’une loi relative à la
protection (vérifier notamment la liste des pays
reconnus par la Commission européenne)
•A défaut, encadrer les transferts (adoption d’un code
de conduite ; insertion de clauses contractuelles ;
faire approuver des règles d'entreprise
contraignantes par la CNIL…)
TRANSFERT DE DONNÉES PERSONNELLES HORS
UE
•Sanctions administratives graduées et renforcées :
avertissement; suspension des flux de données; injonction de
rectifier ou effacer les données; retrait de certification…
•Amendes administratives : selon la catégorie d’infraction,
jusqu’à 4% du chiffres d’affaires annuel mondial pour les
entreprises
•Sanctions pénales pouvant se cumuler aux sanctions
administratives en cas de non désignation d’un DPO lorsqu’il
est obligatoire, d’entrave à l’action de la CNIL…
LES RISQUES ENCOURUS
33 rue Galilée, 75116
PARIS
T  +33 (0)1 44 43 53 44
F  +33 (0)1 72 69 06 82
avocats@cabinet-
arenaire.com
www.cabinet-
arenaire.com

Contenu connexe

Tendances

Méthodes et outils en intelligence économique territoriale
Méthodes et outils en intelligence économique territorialeMéthodes et outils en intelligence économique territoriale
Méthodes et outils en intelligence économique territorialeChristophe Marnat
 
Ch3 3 cybercriminalite_droit_maroc
Ch3 3 cybercriminalite_droit_marocCh3 3 cybercriminalite_droit_maroc
Ch3 3 cybercriminalite_droit_marocRadouane Mrabet
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Comportement de l'internaute
Comportement de l'internauteComportement de l'internaute
Comportement de l'internauteFredericJutant
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Big data et le marketing
Big data et le marketingBig data et le marketing
Big data et le marketingKhaled Fayala
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Mariem SELLAMI
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILBpifrance
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpdanselmo333
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEIWellington Monaco
 

Tendances (20)

Méthodes et outils en intelligence économique territoriale
Méthodes et outils en intelligence économique territorialeMéthodes et outils en intelligence économique territoriale
Méthodes et outils en intelligence économique territoriale
 
Ch3 3 cybercriminalite_droit_maroc
Ch3 3 cybercriminalite_droit_marocCh3 3 cybercriminalite_droit_maroc
Ch3 3 cybercriminalite_droit_maroc
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Comportement de l'internaute
Comportement de l'internauteComportement de l'internaute
Comportement de l'internaute
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Big data et le marketing
Big data et le marketingBig data et le marketing
Big data et le marketing
 
3 Veille I.Choquet
3 Veille I.Choquet3 Veille I.Choquet
3 Veille I.Choquet
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.Etude sur la veille stratégique en Tunisie.
Etude sur la veille stratégique en Tunisie.
 
Les Objets connectés
Les Objets connectésLes Objets connectés
Les Objets connectés
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNILGuide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
Guide pratique de sensibilisation au RGPD par Bpifrance Le Lab et la CNIL
 
Marketing de l'innovation
Marketing de l'innovationMarketing de l'innovation
Marketing de l'innovation
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
 

Similaire à Protection des données personnelles - RGPD - l'essentiel

Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vfMostafaAITMEHDI
 
droit.ppt
droit.pptdroit.ppt
droit.pptYnesZid
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique FrenchTechCentral
 

Similaire à Protection des données personnelles - RGPD - l'essentiel (20)

Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique
 

Plus de Pierre MASSOT

Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018Pierre MASSOT
 
Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017Pierre MASSOT
 
La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17Pierre MASSOT
 
Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17Pierre MASSOT
 
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015Pierre MASSOT
 
Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015Pierre MASSOT
 

Plus de Pierre MASSOT (6)

Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018
 
Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017
 
La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17
 
Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17
 
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
 
Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015
 

Protection des données personnelles - RGPD - l'essentiel

  • 1.
  • 2. Le Règlement Européen Général sur la Protection des Données (RGPD) L’essentiel Mai 2018
  • 3. LIENS UTILES Site de la CNIL (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour- les-professionnels) Guide pratique établi par la CNIL et le BPI (https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf)
  • 4. Objectifs et enjeux du RGPD Quelques précisions utiles 1. Qu’est ce que le traitement des données ? 2. Qu’est qu’une donnée personnelle ? 3. Droit des personnes dont les données sont collectées ? Qui est concerné par le RGPD ? Quelles sont les données concernées? Quels changements apporte le RGPD ? Comment se conformer au RGPD ? 1. Tenir un registre des traitements 2. Informer les personnes concernées 3. Respecter les droits des personnes concernées 4. Sécuriser les données 5. Désigner un Délégué à la protection des données (DPO) Cas des données à risques Transfert des données personnelles hors UE Les risques encourus APERÇU
  • 5. LE RGPD : OBJECTIFS ET ENJEUX • Harmonisation des règles au niveau de l’Union Européenne • Renforcement des droits des personnes • Responsabilisation des acteurs traitant de données personnelles → Entrée en vigueur le 25 mai 2018
  • 6. QUELQUES PRÉCISIONS UTILES : QU’EST-CE QUE LE TRAITEMENT DE DONNÉES PERSONNELLES ? • Toute opération portant sur des données personnelles • Quelque soit le procédé utilisé : collecte, enregistrement, modification, extraction, communication, diffusion …. • Quelque soit le format : numérique, papier… → Exemples : collecte/enregistrement de données personnelles pour l’envoi de newsletters, la livraison d’une commande, l’embauche d’un salarié…
  • 7. QUELQUES PRÉCISIONS UTILES : QU’EST-CE QU’UNE DONNÉE PERSONNELLE ? Toute information se rapportant : •à une personne physique identifiée ou identifiable, •que ce soit directement ou indirectement, •à partir d’une seule donnée ou d’un croisement de données → Exemples : nom, prénom, numéro de téléphone, données culturelles, données génétiques, données bancaires …
  • 8. QUELQUES PRÉCISIONS UTILES : DROITS DES PERSONNES DONT LES DONNÉES SONT COLLECTÉES • Droit d’opposition (par ex. à la réutilisation des données à des fins commerciales) • Droit d’accès et de rectification • Droit d’effacement • Droit à la portabilité (nouveauté du RGPD) • Droit à la limitation du traitement
  • 9. Tous les organismes qui traitent des données personnelles et les sous-traitants dès lors qu’ils : -sont établis sur le territoire de l’Union européenne OU -ciblent directement des résidents de l’Union européenne LE RGPD : QUI EST CONCERNÉ ?
  • 10. Toutes les données dont : -les données des consommateurs ; -les données des salariés (embauche, évaluation, rémunération, gestion…) ; -les données des partenaires (sous-traitant, visiteurs, prestataires) LE RGPD : LES DONNÉES CONCERNÉES
  • 11. LE RGPD : QUELS CHANGEMENTS ? • Allègement des formalités administratives (not., disparition de la déclaration/autorisation préalable auprès de la CNIL sauf cas particulier) • Responsabilisation des acteurs du traitement • Sanctions renforcées
  • 12. COMMENT SE CONFORMER AU RGPD ? 1. Tenir un registre des traitements 2. Informer les personnes concernées 3. Respecter les droits des personnes concernées 4. Sécuriser les données 5. Désigner un Délégué à la protection des données (DPO)
  • 13. 1. Tenir un registre des traitements • Le traitement ne doit porter que sur les données pertinentes par rapport à l’objectif pour lequel elles sont collectées (principe de minimisation) • Le registre listant tous les traitements de données mis en œuvre par l’entreprise doit être tenu à jour • Pour cela, les activités principales de l’entreprise qui nécessitent un traitement de données doivent être identifiées → Exemples : gestion des clients, gestion des commandes et livraisons, recrutement, gestion de la paie, …)
  • 14. 1. Tenir un registre des traitements • Créer une fiche détaillée pour chaque activité précisant les éléments suivants la finalité du traitement les types de données traitées ; les personnes ayant accès aux données la durée de conservation des données les transferts éventuels avec l’origine et la destination des données (transferts hors UE) → Pour un modèle de registre, voir le site de la CNIL https://www.cnil.fr/fr/cartographier-vos- traitements-de-donnees-personnelles → NB : il n’est pas nécessaire de mentionner les traitements ponctuels sur le registre
  • 15. 2. Informer les personnes concernées • A chaque collecte de données, indiquer : - la finalité de la collecte ; - le fondement juridique (consentement de la personne concernée notamment pour l’utilisation des données à des fins de prospection commerciale ; obligation légale ; obligation contractuelle…) ; - le responsable du traitement et le destinataire des données ; - la durée de conservation des données ; - les droits des personnes concernées ; - le cas échéant, l’existence d’un transfert de données hors UE • Possibilité de renvoyer à une politique de confidentialité
  • 16. 3. Respecter les droits des personnes concernées • Donner la possibilité d’exercer effectivement leurs droits • Prévoir, par exemple, une adresse de messagerie spécifique • En interne, prévoir un processus permettant de répondre rapidement aux demandes
  • 17. 4. Sécuriser les données • Prendre les mesures nécessaires pour assurer la sécurité des données (logiciels, antivirus…) • Signaler à la CNIL toute violation de données pouvant présenter un risque pour les droits et libertés des personnes concernées (piratage, divulgation, perte, destruction, accès ou modification non autorisé…) dans les 72 heures de la violation • Informer les personnes concernées si le risque est élevé pour leurs droits et libertés
  • 18. 5. Désigner un délégué à la protection des données (DPO) : quand ? • Obligatoire pour : - les organismes publics - les entreprises dont l’activité les amène à réaliser un suivi régulier et systématique des personnes ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions • Fortement recommandé pour les autres entreprises • A tout le moins, désigner une personne en charge de la mise en conformité au règlement européen
  • 19. 5. Désigner un DPO : ses missions - Informer et conseiller le responsable de traitement ou le sous-traitant - Contrôler le respect du RGPD et des lois relatives à la protection des données - Réaliser l’inventaire des traitements de données - Coopérer avec l’autorité de contrôle
  • 20. • Personnes traitant des données personnelles pour le compte d’un autre organisme Précisions relatives aux sous-traitants • Obligations spécifiques Assurer un protection effective des données Conseiller leurs clients sur la protection des données Tenir un registre des activités de traitements réalisés pour le compte de leurs clients en plus du registre concernant leur propre traitement Prévoir un contrat avec une clause spécifique sur la protection des données personnelles
  • 21. •Vigilance particulière et sécurisation renforcée •Les données à risques comprennent les données sensibles (origine raciale ou ethnique ; opinions politiques ou religieuses ; appartenance syndicale ; orientation sexuelle ; santé ; génétique) •Selon les cas, réaliser une analyse d’impact sur la protection des données à risque avant le traitement des données •Consultation obligatoire de la CNIL lorsque l’analyse d'impact indique que le risque serait élevé si le responsable du traitement ne prend pas les mesures adéquates CAS DES DONNÉES À RISQUE
  • 22. TRANSFERT DE DONNÉES PERSONNELLES HORS UE La Commission a constaté que le pays en question assure un niveau de protection adéquat La Commission a constaté que le pays en question assure un niveau de protection adéquat Pas de décision de la CommissionPas de décision de la Commission Pas de décision de la Commission ni de garanties appropriées – Dérogations pour des cas particuliers Pas de décision de la Commission ni de garanties appropriées – Dérogations pour des cas particuliers Transfert hors UE possible sans autorisation (liste des pays reconnus par la Commission européenne disponible sur le site de la CNIL : https://www.cnil.fr/fr/l a-protection-des- donnees-dans-le- monde) Transfert hors UE possible sans autorisation (liste des pays reconnus par la Commission européenne disponible sur le site de la CNIL : https://www.cnil.fr/fr/l a-protection-des- donnees-dans-le- monde) Transfert hors UE possible: - Selon les cas, avec ou sans autorisation et ; - Uniquement si des garanties appropriées ont été prévues et ; - A la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives Transfert hors UE possible: - Selon les cas, avec ou sans autorisation et ; - Uniquement si des garanties appropriées ont été prévues et ; - A la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives Transfert hors UE possible notamment si : - Consentement explicite de la personne concernée, après l’avoir informée des risques du transfert ; - Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; - Transfert nécessaire à l'exercice de droits en justice Transfert hors UE possible notamment si : - Consentement explicite de la personne concernée, après l’avoir informée des risques du transfert ; - Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; - Transfert nécessaire à l'exercice de droits en justice
  • 23. •Vérifier que le pays dispose d’une loi relative à la protection (vérifier notamment la liste des pays reconnus par la Commission européenne) •A défaut, encadrer les transferts (adoption d’un code de conduite ; insertion de clauses contractuelles ; faire approuver des règles d'entreprise contraignantes par la CNIL…) TRANSFERT DE DONNÉES PERSONNELLES HORS UE
  • 24. •Sanctions administratives graduées et renforcées : avertissement; suspension des flux de données; injonction de rectifier ou effacer les données; retrait de certification… •Amendes administratives : selon la catégorie d’infraction, jusqu’à 4% du chiffres d’affaires annuel mondial pour les entreprises •Sanctions pénales pouvant se cumuler aux sanctions administratives en cas de non désignation d’un DPO lorsqu’il est obligatoire, d’entrave à l’action de la CNIL… LES RISQUES ENCOURUS
  • 25. 33 rue Galilée, 75116 PARIS T  +33 (0)1 44 43 53 44 F  +33 (0)1 72 69 06 82 avocats@cabinet- arenaire.com www.cabinet- arenaire.com