SlideShare une entreprise Scribd logo

Protection des données personnelles - RGPD - l'essentiel

Télécharger en tant que PPT, PDF
Pierre MASSOT
Pierre MASSOT

Le Règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain. Cette règlementation va avoir un impact pour toutes les entreprises, y compris les PME et TPE. Il est donc fortement recommandé de prendre toutes les mesures utiles pour se mettre en conformité avec les nouvelles règles qui seront bientôt applicables. La CNIL et BPI ont déjà publié un guide pratique pour aider les entrepreneurs à s’adapter à la nouvelle règlementation. Voici l'essentiel de ce qu'il faut retenir !

Droit
1  sur  25
Le Règlement Européen Général sur la Protection des Données (RGPD) L’essentiel Mai 2018
LIENS UTILES Site de la CNIL (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour- les-professionnels) Guide pratique établi par la CNIL et le BPI (https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf)
Objectifs et enjeux du RGPD Quelques précisions utiles 1. Qu’est ce que le traitement des données ? 2. Qu’est qu’une donnée personnelle ? 3. Droit des personnes dont les données sont collectées ? Qui est concerné par le RGPD ? Quelles sont les données concernées? Quels changements apporte le RGPD ? Comment se conformer au RGPD ? 1. Tenir un registre des traitements 2. Informer les personnes concernées 3. Respecter les droits des personnes concernées 4. Sécuriser les données 5. Désigner un Délégué à la protection des données (DPO) Cas des données à risques Transfert des données personnelles hors UE Les risques encourus APERÇU
LE RGPD : OBJECTIFS ET ENJEUX • Harmonisation des règles au niveau de l’Union Européenne • Renforcement des droits des personnes • Responsabilisation des acteurs traitant de données personnelles → Entrée en vigueur le 25 mai 2018
QUELQUES PRÉCISIONS UTILES : QU’EST-CE QUE LE TRAITEMENT DE DONNÉES PERSONNELLES ? • Toute opération portant sur des données personnelles • Quelque soit le procédé utilisé : collecte, enregistrement, modification, extraction, communication, diffusion …. • Quelque soit le format : numérique, papier… → Exemples : collecte/enregistrement de données personnelles pour l’envoi de newsletters, la livraison d’une commande, l’embauche d’un salarié…
QUELQUES PRÉCISIONS UTILES : QU’EST-CE QU’UNE DONNÉE PERSONNELLE ? Toute information se rapportant : •à une personne physique identifiée ou identifiable, •que ce soit directement ou indirectement, •à partir d’une seule donnée ou d’un croisement de données → Exemples : nom, prénom, numéro de téléphone, données culturelles, données génétiques, données bancaires …
QUELQUES PRÉCISIONS UTILES : DROITS DES PERSONNES DONT LES DONNÉES SONT COLLECTÉES • Droit d’opposition (par ex. à la réutilisation des données à des fins commerciales) • Droit d’accès et de rectification • Droit d’effacement • Droit à la portabilité (nouveauté du RGPD) • Droit à la limitation du traitement
Tous les organismes qui traitent des données personnelles et les sous-traitants dès lors qu’ils : -sont établis sur le territoire de l’Union européenne OU -ciblent directement des résidents de l’Union européenne LE RGPD : QUI EST CONCERNÉ ?
Toutes les données dont : -les données des consommateurs ; -les données des salariés (embauche, évaluation, rémunération, gestion…) ; -les données des partenaires (sous-traitant, visiteurs, prestataires) LE RGPD : LES DONNÉES CONCERNÉES
LE RGPD : QUELS CHANGEMENTS ? • Allègement des formalités administratives (not., disparition de la déclaration/autorisation préalable auprès de la CNIL sauf cas particulier) • Responsabilisation des acteurs du traitement • Sanctions renforcées
COMMENT SE CONFORMER AU RGPD ? 1. Tenir un registre des traitements 2. Informer les personnes concernées 3. Respecter les droits des personnes concernées 4. Sécuriser les données 5. Désigner un Délégué à la protection des données (DPO)
1. Tenir un registre des traitements • Le traitement ne doit porter que sur les données pertinentes par rapport à l’objectif pour lequel elles sont collectées (principe de minimisation) • Le registre listant tous les traitements de données mis en œuvre par l’entreprise doit être tenu à jour • Pour cela, les activités principales de l’entreprise qui nécessitent un traitement de données doivent être identifiées → Exemples : gestion des clients, gestion des commandes et livraisons, recrutement, gestion de la paie, …)
1. Tenir un registre des traitements • Créer une fiche détaillée pour chaque activité précisant les éléments suivants la finalité du traitement les types de données traitées ; les personnes ayant accès aux données la durée de conservation des données les transferts éventuels avec l’origine et la destination des données (transferts hors UE) → Pour un modèle de registre, voir le site de la CNIL https://www.cnil.fr/fr/cartographier-vos- traitements-de-donnees-personnelles → NB : il n’est pas nécessaire de mentionner les traitements ponctuels sur le registre
2. Informer les personnes concernées • A chaque collecte de données, indiquer : - la finalité de la collecte ; - le fondement juridique (consentement de la personne concernée notamment pour l’utilisation des données à des fins de prospection commerciale ; obligation légale ; obligation contractuelle…) ; - le responsable du traitement et le destinataire des données ; - la durée de conservation des données ; - les droits des personnes concernées ; - le cas échéant, l’existence d’un transfert de données hors UE • Possibilité de renvoyer à une politique de confidentialité
3. Respecter les droits des personnes concernées • Donner la possibilité d’exercer effectivement leurs droits • Prévoir, par exemple, une adresse de messagerie spécifique • En interne, prévoir un processus permettant de répondre rapidement aux demandes
4. Sécuriser les données • Prendre les mesures nécessaires pour assurer la sécurité des données (logiciels, antivirus…) • Signaler à la CNIL toute violation de données pouvant présenter un risque pour les droits et libertés des personnes concernées (piratage, divulgation, perte, destruction, accès ou modification non autorisé…) dans les 72 heures de la violation • Informer les personnes concernées si le risque est élevé pour leurs droits et libertés
5. Désigner un délégué à la protection des données (DPO) : quand ? • Obligatoire pour : - les organismes publics - les entreprises dont l’activité les amène à réaliser un suivi régulier et systématique des personnes ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions • Fortement recommandé pour les autres entreprises • A tout le moins, désigner une personne en charge de la mise en conformité au règlement européen
5. Désigner un DPO : ses missions - Informer et conseiller le responsable de traitement ou le sous-traitant - Contrôler le respect du RGPD et des lois relatives à la protection des données - Réaliser l’inventaire des traitements de données - Coopérer avec l’autorité de contrôle
• Personnes traitant des données personnelles pour le compte d’un autre organisme Précisions relatives aux sous-traitants • Obligations spécifiques Assurer un protection effective des données Conseiller leurs clients sur la protection des données Tenir un registre des activités de traitements réalisés pour le compte de leurs clients en plus du registre concernant leur propre traitement Prévoir un contrat avec une clause spécifique sur la protection des données personnelles
•Vigilance particulière et sécurisation renforcée •Les données à risques comprennent les données sensibles (origine raciale ou ethnique ; opinions politiques ou religieuses ; appartenance syndicale ; orientation sexuelle ; santé ; génétique) •Selon les cas, réaliser une analyse d’impact sur la protection des données à risque avant le traitement des données •Consultation obligatoire de la CNIL lorsque l’analyse d'impact indique que le risque serait élevé si le responsable du traitement ne prend pas les mesures adéquates CAS DES DONNÉES À RISQUE
TRANSFERT DE DONNÉES PERSONNELLES HORS UE La Commission a constaté que le pays en question assure un niveau de protection adéquat La Commission a constaté que le pays en question assure un niveau de protection adéquat Pas de décision de la CommissionPas de décision de la Commission Pas de décision de la Commission ni de garanties appropriées – Dérogations pour des cas particuliers Pas de décision de la Commission ni de garanties appropriées – Dérogations pour des cas particuliers Transfert hors UE possible sans autorisation (liste des pays reconnus par la Commission européenne disponible sur le site de la CNIL : https://www.cnil.fr/fr/l a-protection-des- donnees-dans-le- monde) Transfert hors UE possible sans autorisation (liste des pays reconnus par la Commission européenne disponible sur le site de la CNIL : https://www.cnil.fr/fr/l a-protection-des- donnees-dans-le- monde) Transfert hors UE possible: - Selon les cas, avec ou sans autorisation et ; - Uniquement si des garanties appropriées ont été prévues et ; - A la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives Transfert hors UE possible: - Selon les cas, avec ou sans autorisation et ; - Uniquement si des garanties appropriées ont été prévues et ; - A la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives Transfert hors UE possible notamment si : - Consentement explicite de la personne concernée, après l’avoir informée des risques du transfert ; - Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; - Transfert nécessaire à l'exercice de droits en justice Transfert hors UE possible notamment si : - Consentement explicite de la personne concernée, après l’avoir informée des risques du transfert ; - Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; - Transfert nécessaire à l'exercice de droits en justice
•Vérifier que le pays dispose d’une loi relative à la protection (vérifier notamment la liste des pays reconnus par la Commission européenne) •A défaut, encadrer les transferts (adoption d’un code de conduite ; insertion de clauses contractuelles ; faire approuver des règles d'entreprise contraignantes par la CNIL…) TRANSFERT DE DONNÉES PERSONNELLES HORS UE
•Sanctions administratives graduées et renforcées : avertissement; suspension des flux de données; injonction de rectifier ou effacer les données; retrait de certification… •Amendes administratives : selon la catégorie d’infraction, jusqu’à 4% du chiffres d’affaires annuel mondial pour les entreprises •Sanctions pénales pouvant se cumuler aux sanctions administratives en cas de non désignation d’un DPO lorsqu’il est obligatoire, d’entrave à l’action de la CNIL… LES RISQUES ENCOURUS
33 rue Galilée, 75116 PARIS T  +33 (0)1 44 43 53 44 F  +33 (0)1 72 69 06 82 avocats@cabinet- arenaire.com www.cabinet- arenaire.com

Recommandé

Cours systême d'intelligence marketing
Cours systême d'intelligence marketingCours systême d'intelligence marketing
Cours systême d'intelligence marketingJean Roger Mably
 
UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...
UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...
UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...Observatoire International des Métiers Internet/ Président Mouvement Européen France - Gironde
 
la veille
la veillela veille
la veilleMarouaChetmi
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Emotions et besoins
Emotions et besoinsEmotions et besoins
Emotions et besoinsjfhelie
 
Offre technique animation de formation ingenierie de formation
Offre technique animation de formation ingenierie de formationOffre technique animation de formation ingenierie de formation
Offre technique animation de formation ingenierie de formationNabil Gharib
 
Experience client augmentee2
Experience client augmentee2Experience client augmentee2
Experience client augmentee2fourniermartine
 
Veille technologique : méthode et outils
Veille technologique : méthode et outilsVeille technologique : méthode et outils
Veille technologique : méthode et outilsM-Colette Fauré
 

Recommandé

Cours systême d'intelligence marketing
Cours systême d'intelligence marketingCours systême d'intelligence marketing
Cours systême d'intelligence marketingJean Roger Mably
 
UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...
UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...
UNE STRATEGIE POUR DES PME TEXTILES ET VETEMENTS AXEES SUR UNE CONNAISSANCE I...Observatoire International des Métiers Internet/ Président Mouvement Européen France - Gironde
 
la veille
la veillela veille
la veilleMarouaChetmi
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?_unknowns
 
Emotions et besoins
Emotions et besoinsEmotions et besoins
Emotions et besoinsjfhelie
 
Offre technique animation de formation ingenierie de formation
Offre technique animation de formation ingenierie de formationOffre technique animation de formation ingenierie de formation
Offre technique animation de formation ingenierie de formationNabil Gharib
 
Experience client augmentee2
Experience client augmentee2Experience client augmentee2
Experience client augmentee2fourniermartine
 
Veille technologique : méthode et outils
Veille technologique : méthode et outilsVeille technologique : méthode et outils
Veille technologique : méthode et outilsM-Colette Fauré
 
4 knowledge management
4 knowledge management4 knowledge management
4 knowledge managementHalima Djelil
 
Mettre en place une cellule de veille en entreprise
Mettre en place une cellule de veille en entrepriseMettre en place une cellule de veille en entreprise
Mettre en place une cellule de veille en entrepriseVINCIT SPRL - STRATEGY
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?PMI-Montréal
 
Prévenir le risque de fraude dans l'entreprise - éléments de réflexion
Prévenir le risque de fraude dans l'entreprise - éléments de réflexionPrévenir le risque de fraude dans l'entreprise - éléments de réflexion
Prévenir le risque de fraude dans l'entreprise - éléments de réflexionAndre JACQUEMET
 
Veille stratégique sur Internet
Veille stratégique sur InternetVeille stratégique sur Internet
Veille stratégique sur InternetEcommerce United
 
Module N°8 La DéMarche Qualité Comme Outil De Management
Module N°8 La DéMarche Qualité Comme Outil De ManagementModule N°8 La DéMarche Qualité Comme Outil De Management
Module N°8 La DéMarche Qualité Comme Outil De Managementudotsi33
 
Performance et gouvernance de l'entreprise
Performance et gouvernance de l'entreprise Performance et gouvernance de l'entreprise
Performance et gouvernance de l'entreprise Conseil Economique Social et Environnemental
 
Outils de veille
Outils de veilleOutils de veille
Outils de veilleClément Dussarps
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Conduire le changement
Conduire le changementConduire le changement
Conduire le changementMohamed Laghouasli
 
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...IEAM-Paris
 
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON MARCEL NIZON, Marcel
 
La Posture Managériale
La Posture ManagérialeLa Posture Managériale
La Posture ManagérialeHR SCOPE
 
Veille StratéGique,Cas Du Cabinet Dexpert C Omptable
Veille StratéGique,Cas Du Cabinet Dexpert C OmptableVeille StratéGique,Cas Du Cabinet Dexpert C Omptable
Veille StratéGique,Cas Du Cabinet Dexpert C OmptableTarek Abdellatif
 
Audit marketing
Audit marketingAudit marketing
Audit marketingTarik Zghinou
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
Introduction aux moyens de paiement électroniques - #BEICW2015
Introduction aux moyens de paiement électroniques - #BEICW2015Introduction aux moyens de paiement électroniques - #BEICW2015
Introduction aux moyens de paiement électroniques - #BEICW2015NUFUGBE FERA K. A. EKPEH
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 

Contenu connexe

Tendances

4 knowledge management
4 knowledge management4 knowledge management
4 knowledge managementHalima Djelil
 
Mettre en place une cellule de veille en entreprise
Mettre en place une cellule de veille en entrepriseMettre en place une cellule de veille en entreprise
Mettre en place une cellule de veille en entrepriseVINCIT SPRL - STRATEGY
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?PMI-Montréal
 
Prévenir le risque de fraude dans l'entreprise - éléments de réflexion
Prévenir le risque de fraude dans l'entreprise - éléments de réflexionPrévenir le risque de fraude dans l'entreprise - éléments de réflexion
Prévenir le risque de fraude dans l'entreprise - éléments de réflexionAndre JACQUEMET
 
Veille stratégique sur Internet
Veille stratégique sur InternetVeille stratégique sur Internet
Veille stratégique sur InternetEcommerce United
 
Module N°8 La DéMarche Qualité Comme Outil De Management
Module N°8 La DéMarche Qualité Comme Outil De ManagementModule N°8 La DéMarche Qualité Comme Outil De Management
Module N°8 La DéMarche Qualité Comme Outil De Managementudotsi33
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...IEAM-Paris
 
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON MARCEL NIZON, Marcel
 
La Posture Managériale
La Posture ManagérialeLa Posture Managériale
La Posture ManagérialeHR SCOPE
 
Veille StratéGique,Cas Du Cabinet Dexpert C Omptable
Veille StratéGique,Cas Du Cabinet Dexpert C OmptableVeille StratéGique,Cas Du Cabinet Dexpert C Omptable
Veille StratéGique,Cas Du Cabinet Dexpert C OmptableTarek Abdellatif
 
Introduction aux moyens de paiement électroniques - #BEICW2015
Introduction aux moyens de paiement électroniques - #BEICW2015Introduction aux moyens de paiement électroniques - #BEICW2015
Introduction aux moyens de paiement électroniques - #BEICW2015NUFUGBE FERA K. A. EKPEH
 

Tendances (20)

4 knowledge management
4 knowledge management4 knowledge management
4 knowledge management
 
Mettre en place une cellule de veille en entreprise
Mettre en place une cellule de veille en entrepriseMettre en place une cellule de veille en entreprise
Mettre en place une cellule de veille en entreprise
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles
 
Management des risques
Management des risques Management des risques
Management des risques
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?Comment animer un atelier de gestion de risques?
Comment animer un atelier de gestion de risques?
 
Prévenir le risque de fraude dans l'entreprise - éléments de réflexion
Prévenir le risque de fraude dans l'entreprise - éléments de réflexionPrévenir le risque de fraude dans l'entreprise - éléments de réflexion
Prévenir le risque de fraude dans l'entreprise - éléments de réflexion
 
Veille stratégique sur Internet
Veille stratégique sur InternetVeille stratégique sur Internet
Veille stratégique sur Internet
 
Module N°8 La DéMarche Qualité Comme Outil De Management
Module N°8 La DéMarche Qualité Comme Outil De ManagementModule N°8 La DéMarche Qualité Comme Outil De Management
Module N°8 La DéMarche Qualité Comme Outil De Management
 
Performance et gouvernance de l'entreprise
Performance et gouvernance de l'entreprise Performance et gouvernance de l'entreprise
Performance et gouvernance de l'entreprise
 
Outils de veille
Outils de veilleOutils de veille
Outils de veille
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Conduire le changement
Conduire le changementConduire le changement
Conduire le changement
 
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
Management de l'information et des connaissances - IEAM - Nicolas BOURNEZ DES...
 
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
StakeholdersCOURS iIDRAC NANTES PAR MARCEL NIZON
 
La Posture Managériale
La Posture ManagérialeLa Posture Managériale
La Posture Managériale
 
Veille StratéGique,Cas Du Cabinet Dexpert C Omptable
Veille StratéGique,Cas Du Cabinet Dexpert C OmptableVeille StratéGique,Cas Du Cabinet Dexpert C Omptable
Veille StratéGique,Cas Du Cabinet Dexpert C Omptable
 
Audit marketing
Audit marketingAudit marketing
Audit marketing
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Introduction aux moyens de paiement électroniques - #BEICW2015
Introduction aux moyens de paiement électroniques - #BEICW2015Introduction aux moyens de paiement électroniques - #BEICW2015
Introduction aux moyens de paiement électroniques - #BEICW2015
 

Similaire à Protection des données personnelles - RGPD - l'essentiel

Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vfMostafaAITMEHDI
 
droit.ppt
droit.pptdroit.ppt
droit.pptYnesZid
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique FrenchTechCentral
 

Similaire à Protection des données personnelles - RGPD - l'essentiel (20)

Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique
 

Plus de Pierre MASSOT

Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018Pierre MASSOT
 
Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017Pierre MASSOT
 
La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17Pierre MASSOT
 
Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17Pierre MASSOT
 
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015Pierre MASSOT
 
Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015Pierre MASSOT
 

Plus de Pierre MASSOT (6)

Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018Dessins et modèles - jurisprudence 2018
Dessins et modèles - jurisprudence 2018
 
Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017Conférence ARENAIRE du 5 juillet 2017
Conférence ARENAIRE du 5 juillet 2017
 
La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17La réforme du droit d'auteur - 12.09.17
La réforme du droit d'auteur - 12.09.17
 
Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17Les inventions salariées - 19.09.17
Les inventions salariées - 19.09.17
 
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
ARENAIRE - Conférence APRAM - LES - Licence de marques - 29.05.2015
 
Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015Conférence Arenaire - Salon Pack & Gift -17.06.2015
Conférence Arenaire - Salon Pack & Gift -17.06.2015
 

Protection des données personnelles - RGPD - l'essentiel

  • 1.
  • 2. Le Règlement Européen Général sur la Protection des Données (RGPD) L’essentiel Mai 2018
  • 3. LIENS UTILES Site de la CNIL (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour- les-professionnels) Guide pratique établi par la CNIL et le BPI (https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf)
  • 4. Objectifs et enjeux du RGPD Quelques précisions utiles 1. Qu’est ce que le traitement des données ? 2. Qu’est qu’une donnée personnelle ? 3. Droit des personnes dont les données sont collectées ? Qui est concerné par le RGPD ? Quelles sont les données concernées? Quels changements apporte le RGPD ? Comment se conformer au RGPD ? 1. Tenir un registre des traitements 2. Informer les personnes concernées 3. Respecter les droits des personnes concernées 4. Sécuriser les données 5. Désigner un Délégué à la protection des données (DPO) Cas des données à risques Transfert des données personnelles hors UE Les risques encourus APERÇU
  • 5. LE RGPD : OBJECTIFS ET ENJEUX • Harmonisation des règles au niveau de l’Union Européenne • Renforcement des droits des personnes • Responsabilisation des acteurs traitant de données personnelles → Entrée en vigueur le 25 mai 2018
  • 6. QUELQUES PRÉCISIONS UTILES : QU’EST-CE QUE LE TRAITEMENT DE DONNÉES PERSONNELLES ? • Toute opération portant sur des données personnelles • Quelque soit le procédé utilisé : collecte, enregistrement, modification, extraction, communication, diffusion …. • Quelque soit le format : numérique, papier… → Exemples : collecte/enregistrement de données personnelles pour l’envoi de newsletters, la livraison d’une commande, l’embauche d’un salarié…
  • 7. QUELQUES PRÉCISIONS UTILES : QU’EST-CE QU’UNE DONNÉE PERSONNELLE ? Toute information se rapportant : •à une personne physique identifiée ou identifiable, •que ce soit directement ou indirectement, •à partir d’une seule donnée ou d’un croisement de données → Exemples : nom, prénom, numéro de téléphone, données culturelles, données génétiques, données bancaires …
  • 8. QUELQUES PRÉCISIONS UTILES : DROITS DES PERSONNES DONT LES DONNÉES SONT COLLECTÉES • Droit d’opposition (par ex. à la réutilisation des données à des fins commerciales) • Droit d’accès et de rectification • Droit d’effacement • Droit à la portabilité (nouveauté du RGPD) • Droit à la limitation du traitement
  • 9. Tous les organismes qui traitent des données personnelles et les sous-traitants dès lors qu’ils : -sont établis sur le territoire de l’Union européenne OU -ciblent directement des résidents de l’Union européenne LE RGPD : QUI EST CONCERNÉ ?
  • 10. Toutes les données dont : -les données des consommateurs ; -les données des salariés (embauche, évaluation, rémunération, gestion…) ; -les données des partenaires (sous-traitant, visiteurs, prestataires) LE RGPD : LES DONNÉES CONCERNÉES
  • 11. LE RGPD : QUELS CHANGEMENTS ? • Allègement des formalités administratives (not., disparition de la déclaration/autorisation préalable auprès de la CNIL sauf cas particulier) • Responsabilisation des acteurs du traitement • Sanctions renforcées
  • 12. COMMENT SE CONFORMER AU RGPD ? 1. Tenir un registre des traitements 2. Informer les personnes concernées 3. Respecter les droits des personnes concernées 4. Sécuriser les données 5. Désigner un Délégué à la protection des données (DPO)
  • 13. 1. Tenir un registre des traitements • Le traitement ne doit porter que sur les données pertinentes par rapport à l’objectif pour lequel elles sont collectées (principe de minimisation) • Le registre listant tous les traitements de données mis en œuvre par l’entreprise doit être tenu à jour • Pour cela, les activités principales de l’entreprise qui nécessitent un traitement de données doivent être identifiées → Exemples : gestion des clients, gestion des commandes et livraisons, recrutement, gestion de la paie, …)
  • 14. 1. Tenir un registre des traitements • Créer une fiche détaillée pour chaque activité précisant les éléments suivants la finalité du traitement les types de données traitées ; les personnes ayant accès aux données la durée de conservation des données les transferts éventuels avec l’origine et la destination des données (transferts hors UE) → Pour un modèle de registre, voir le site de la CNIL https://www.cnil.fr/fr/cartographier-vos- traitements-de-donnees-personnelles → NB : il n’est pas nécessaire de mentionner les traitements ponctuels sur le registre
  • 15. 2. Informer les personnes concernées • A chaque collecte de données, indiquer : - la finalité de la collecte ; - le fondement juridique (consentement de la personne concernée notamment pour l’utilisation des données à des fins de prospection commerciale ; obligation légale ; obligation contractuelle…) ; - le responsable du traitement et le destinataire des données ; - la durée de conservation des données ; - les droits des personnes concernées ; - le cas échéant, l’existence d’un transfert de données hors UE • Possibilité de renvoyer à une politique de confidentialité
  • 16. 3. Respecter les droits des personnes concernées • Donner la possibilité d’exercer effectivement leurs droits • Prévoir, par exemple, une adresse de messagerie spécifique • En interne, prévoir un processus permettant de répondre rapidement aux demandes
  • 17. 4. Sécuriser les données • Prendre les mesures nécessaires pour assurer la sécurité des données (logiciels, antivirus…) • Signaler à la CNIL toute violation de données pouvant présenter un risque pour les droits et libertés des personnes concernées (piratage, divulgation, perte, destruction, accès ou modification non autorisé…) dans les 72 heures de la violation • Informer les personnes concernées si le risque est élevé pour leurs droits et libertés
  • 18. 5. Désigner un délégué à la protection des données (DPO) : quand ? • Obligatoire pour : - les organismes publics - les entreprises dont l’activité les amène à réaliser un suivi régulier et systématique des personnes ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions • Fortement recommandé pour les autres entreprises • A tout le moins, désigner une personne en charge de la mise en conformité au règlement européen
  • 19. 5. Désigner un DPO : ses missions - Informer et conseiller le responsable de traitement ou le sous-traitant - Contrôler le respect du RGPD et des lois relatives à la protection des données - Réaliser l’inventaire des traitements de données - Coopérer avec l’autorité de contrôle
  • 20. • Personnes traitant des données personnelles pour le compte d’un autre organisme Précisions relatives aux sous-traitants • Obligations spécifiques Assurer un protection effective des données Conseiller leurs clients sur la protection des données Tenir un registre des activités de traitements réalisés pour le compte de leurs clients en plus du registre concernant leur propre traitement Prévoir un contrat avec une clause spécifique sur la protection des données personnelles
  • 21. •Vigilance particulière et sécurisation renforcée •Les données à risques comprennent les données sensibles (origine raciale ou ethnique ; opinions politiques ou religieuses ; appartenance syndicale ; orientation sexuelle ; santé ; génétique) •Selon les cas, réaliser une analyse d’impact sur la protection des données à risque avant le traitement des données •Consultation obligatoire de la CNIL lorsque l’analyse d'impact indique que le risque serait élevé si le responsable du traitement ne prend pas les mesures adéquates CAS DES DONNÉES À RISQUE
  • 22. TRANSFERT DE DONNÉES PERSONNELLES HORS UE La Commission a constaté que le pays en question assure un niveau de protection adéquat La Commission a constaté que le pays en question assure un niveau de protection adéquat Pas de décision de la CommissionPas de décision de la Commission Pas de décision de la Commission ni de garanties appropriées – Dérogations pour des cas particuliers Pas de décision de la Commission ni de garanties appropriées – Dérogations pour des cas particuliers Transfert hors UE possible sans autorisation (liste des pays reconnus par la Commission européenne disponible sur le site de la CNIL : https://www.cnil.fr/fr/l a-protection-des- donnees-dans-le- monde) Transfert hors UE possible sans autorisation (liste des pays reconnus par la Commission européenne disponible sur le site de la CNIL : https://www.cnil.fr/fr/l a-protection-des- donnees-dans-le- monde) Transfert hors UE possible: - Selon les cas, avec ou sans autorisation et ; - Uniquement si des garanties appropriées ont été prévues et ; - A la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives Transfert hors UE possible: - Selon les cas, avec ou sans autorisation et ; - Uniquement si des garanties appropriées ont été prévues et ; - A la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives Transfert hors UE possible notamment si : - Consentement explicite de la personne concernée, après l’avoir informée des risques du transfert ; - Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; - Transfert nécessaire à l'exercice de droits en justice Transfert hors UE possible notamment si : - Consentement explicite de la personne concernée, après l’avoir informée des risques du transfert ; - Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ; - Transfert nécessaire à l'exercice de droits en justice
  • 23. •Vérifier que le pays dispose d’une loi relative à la protection (vérifier notamment la liste des pays reconnus par la Commission européenne) •A défaut, encadrer les transferts (adoption d’un code de conduite ; insertion de clauses contractuelles ; faire approuver des règles d'entreprise contraignantes par la CNIL…) TRANSFERT DE DONNÉES PERSONNELLES HORS UE
  • 24. •Sanctions administratives graduées et renforcées : avertissement; suspension des flux de données; injonction de rectifier ou effacer les données; retrait de certification… •Amendes administratives : selon la catégorie d’infraction, jusqu’à 4% du chiffres d’affaires annuel mondial pour les entreprises •Sanctions pénales pouvant se cumuler aux sanctions administratives en cas de non désignation d’un DPO lorsqu’il est obligatoire, d’entrave à l’action de la CNIL… LES RISQUES ENCOURUS
  • 25. 33 rue Galilée, 75116 PARIS T  +33 (0)1 44 43 53 44 F  +33 (0)1 72 69 06 82 avocats@cabinet- arenaire.com www.cabinet- arenaire.com