SlideShare une entreprise Scribd logo

Risques numériques et responsabilités

C
Comsoce

Présentation de Maître Iris Vogeding.

Économie & finance
1  sur  15
Télécharger pour lire hors ligne
RISQUES NUMÉRIQUES - RESPONSABILITÉS Conférence SIP – GP Assurance Finance Iris Vögeding - HFW 19 novembre 2018
HFW 2
HFW 3 RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données) Loi n°2018-493 du 20 juin 2018 modifiant la loi informatique et liberté et ses textes d’application Directive NIS (Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union)  Loi n°2018-133 du 26 février 2018 relative à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique et textes d’application PRINCIPAUX TEXTES ENTRÉS EN VIGUEUR EN 2018
HFW 4  Responsabilisation des acteurs  Obligation de conformité dès la conception du produit ou service, par défaut, continue durant le traitement  Droit souple: le responsable du traitement doit mettre en œuvre des « mesures techniques et organisationnelles appropriées »  Sanctions accrues  RGPD: max. 20.000.000 euros ou 4% du chiffre d'affaire annuel mondial Mais aussi:  Directive NIS: Amendes pour les dirigeants des OSE et FSN  Risque pénal  Action de groupe RAPPEL DES PRINCIPES
HFW 5 RETOUR D 'EXPERIENCE CNIL source: www.cnil.fr CNIL 1er bilan après entrée en vigueur RGPD du 16 octobre 2018 :  742 notifications de violations, concernant plus de 33 millions de personnes  Dont 65%: actes de malveillance , 15%: erreur humaine
HFW 6  Information des personnes concernées, y compris lorsque les données sont transmises par une personne morale  Déterminer si le traitement est licite:  Consentement de la personne concernée  Traitement nécessaire à la mise en place ou l’exécution d’un contrat avec la personne concernée  Intérêts légitimes  Mise en place des contrats entre le responsable de traitement et le sous-traitant  Détermination de la durée de stockage des données  Transfert vers les pays tiers (hors UE) - Et après le Brexit ? OBLIGATIONS EN AMONT
HFW 7  Notifier à la CNIL dans un délai de 72 h à compter de la connaissance de la violation (à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques)  Notifier à la personne concernée dans les meilleurs délais (à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) sauf si cela suppose des efforts disproportionnés >> Dans ce cas : communication publique  En l’absence de risque: consigner dans un cahier interne  La CNIL adopte une approche répressive en cas de non-respect de l’obligation de notification dans les 72h.  En revanche, elle privilégie l’accompagnement lors de la réception des notifications dans les délais impartis.  Directive NIS: obligation de notification à l’ANSSI et risque d’amende personnelle incombant au dirigeant de l’entreprise (50 à 75 k Euros) OBLIGATIONS EN CAS DE VIOLATION DE DONNÉES PERSONNELLES
HFW 8 Divulgation non autorisée de données personnelles, non-accessibilité, non-respect du droit à l’oubli, vol ou usurpation d’identité… Vis-à-vis des tiers: Préjudice moral Préjudice financier Pénalités contractuelles … Subis par le responsable du traitement: Pertes de production, de vente Perte d’un avantage compétitif (secret d’affaires) Préjudice d’image … QUELS DOMMAGES ?
HFW 9 QUELLES RESPONSABILITES ? Conditions de la responsabilité du responsable du traitement:  Traitement effectué en violation du RGPD + dommage + lien de causalité  renversement de la charge de la preuve: c'est au responsable du traitement de démontrer que le traitement est conforme  toutefois, pour apprécier la conformité, il est tenu compte de la nature, portée, contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques Conditions de la responsabilité du sous-traitant:  Le sous-traitant n'a pas respecté les obligations qui lui incombent selon le RGPD ou a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci + dommage + lien de causalité  mais le sous-traitant peut s'exonérer s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable  donc: exonération fait du tiers, faute de la victime, cas fortuit Obligation in solidum RT et S-T vis-à-vis des tiers, recours entre eux selon le degré de responsabilité de chacun Penser à la rédaction des clauses de responsabilité dans le contrat de sous-traitance !
HFW 10 27 2018 MERCI POUR VOTRE ATTENTION! IRIS VÖGEDING AVOCAT À LA COUR / RECHTSANWALT HFW IVO@HFW.COM
HFW 11 Annexes
HFW 12 EXPERIENCE CNIL source: www.cnil.fr Le secteur de l’hébergement et de la restauration est surreprésenté avec 185 notifications de violations.  Ce fort volume trouve son origine dans un cas particulier : un prestataire de service, fournissant à ses clients des outils de réservation, a été victime d’une violation de données.  Ce dernier a immédiatement averti tous ses clients de la violation et a mis en place un dispositif dédié afin de les accompagner dans leurs obligations
HFW 13 EXPERIENCE CNIL source: www.cnil.fr
HFW 14 EXPERIENCE CNIL source: www.cnil.fr
HFW 15 Amendes administratives : Risque de sanctions administratives pour le responsable de traitement et le sous-traitant Selon l’infraction: Montant maximum de 10.000.000 euros ou 2% du chiffre d'affaire annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu, ou de 20.000.000 euros ou 4% du chiffre d'affaire annuel mondial. Caractère personnel des amendes administratives – assurabilité ? Risque pénal: Art. 226-16 à 226-22-1 du Code pénal, art. R 625-10 et s. du Code pénal: jusqu’à 5 ans de prison et 300.000 euros d’amende (x5 pour les personnes morales) Amendes spécifiques pour les dirigeants des OSE et FSN (Directive NIS) Action de groupe: Introduite par la loi du 18 novembre 2016, l'action de groupe ne permettait jusqu'ici que d'agir pour obtenir la cessation de manquements. Dans le cadre des marges de manœuvres laissées aux EM par le RGPD, la loi du 20 juin 2018 a étendu l'action de groupe à la réparation des préjudices matériels et moraux AMENDES / ACTION DE GROUPE

Recommandé

Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberComsoce
 
Risques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursRisques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursComsoce
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILStéphanie Roger
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspectsBMMA - Belgian Management and Marketing Association
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...Lexing - Belgium
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 

Recommandé

Point d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberPoint d'actualité sur le marché de l'assurance cyber
Point d'actualité sur le marché de l'assurance cyberComsoce
 
Risques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursRisques numériques : État des lieux pour les assureurs
Risques numériques : État des lieux pour les assureursComsoce
 
La Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILLa Masterclass #RGPD #International @CNIL
La Masterclass #RGPD #International @CNILStéphanie Roger
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspectsBMMA - Belgian Management and Marketing Association
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...Lexing - Belgium
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !Contact SNCD
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDAdrien Simon
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. OECD Governance
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018African Cyber Security Summit
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...Lexing - Belgium
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpdDidier Graf
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 
intermédiaires financiers
intermédiaires financiersintermédiaires financiers
intermédiaires financiersUniversité Pierre et Marie Curie
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 

Contenu connexe

Similaire à Risques numériques et responsabilités

#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !Contact SNCD
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDAdrien Simon
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. OECD Governance
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Market iT
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...Medialibs
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...Lexing - Belgium
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 

Similaire à Risques numériques et responsabilités (20)

#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !#LOVEDATADAY : la présentation de l'événement !
#LOVEDATADAY : la présentation de l'événement !
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPD
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera. La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
La protection des lanceurs d’alerte : expérience suisse - Anne Rivera.
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
intermédiaires financiers
intermédiaires financiersintermédiaires financiers
intermédiaires financiers
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 

Plus de Comsoce

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées Comsoce
 
Présentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementéesPrésentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementéesComsoce
 
Agroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenanceAgroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenanceComsoce
 
Assurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-BrexitAssurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-BrexitComsoce
 
Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?Comsoce
 
Les répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunitésLes répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunitésComsoce
 
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Comsoce
 

Plus de Comsoce (9)

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées Présentation de Maître Philippe Malikian - Conventions réglementées
Présentation de Maître Philippe Malikian - Conventions réglementées
 
Présentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementéesPrésentation de Eddy Topalian - Conventions réglementées
Présentation de Eddy Topalian - Conventions réglementées
 
Agroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenanceAgroalimentaire, la gestion du turnover dans les équipes maintenance
Agroalimentaire, la gestion du turnover dans les équipes maintenance
 
Assurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-BrexitAssurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
Assurances et intermédiation : Opérer en conformité dans l'UE post-Brexit
 
Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?Brexit : Quel scénario pour les assureurs ?
Brexit : Quel scénario pour les assureurs ?
 
Les répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunitésLes répercussions du Brexit et les opportunités
Les répercussions du Brexit et les opportunités
 
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
Présentation Insti7 : 2017, année de tous les risques : où, quand et comment ...
 

Risques numériques et responsabilités

  • 1. RISQUES NUMÉRIQUES - RESPONSABILITÉS Conférence SIP – GP Assurance Finance Iris Vögeding - HFW 19 novembre 2018
  • 3. HFW 3 RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données) Loi n°2018-493 du 20 juin 2018 modifiant la loi informatique et liberté et ses textes d’application Directive NIS (Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union)  Loi n°2018-133 du 26 février 2018 relative à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique et textes d’application PRINCIPAUX TEXTES ENTRÉS EN VIGUEUR EN 2018
  • 4. HFW 4  Responsabilisation des acteurs  Obligation de conformité dès la conception du produit ou service, par défaut, continue durant le traitement  Droit souple: le responsable du traitement doit mettre en œuvre des « mesures techniques et organisationnelles appropriées »  Sanctions accrues  RGPD: max. 20.000.000 euros ou 4% du chiffre d'affaire annuel mondial Mais aussi:  Directive NIS: Amendes pour les dirigeants des OSE et FSN  Risque pénal  Action de groupe RAPPEL DES PRINCIPES
  • 5. HFW 5 RETOUR D 'EXPERIENCE CNIL source: www.cnil.fr CNIL 1er bilan après entrée en vigueur RGPD du 16 octobre 2018 :  742 notifications de violations, concernant plus de 33 millions de personnes  Dont 65%: actes de malveillance , 15%: erreur humaine
  • 6. HFW 6  Information des personnes concernées, y compris lorsque les données sont transmises par une personne morale  Déterminer si le traitement est licite:  Consentement de la personne concernée  Traitement nécessaire à la mise en place ou l’exécution d’un contrat avec la personne concernée  Intérêts légitimes  Mise en place des contrats entre le responsable de traitement et le sous-traitant  Détermination de la durée de stockage des données  Transfert vers les pays tiers (hors UE) - Et après le Brexit ? OBLIGATIONS EN AMONT
  • 7. HFW 7  Notifier à la CNIL dans un délai de 72 h à compter de la connaissance de la violation (à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques)  Notifier à la personne concernée dans les meilleurs délais (à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques) sauf si cela suppose des efforts disproportionnés >> Dans ce cas : communication publique  En l’absence de risque: consigner dans un cahier interne  La CNIL adopte une approche répressive en cas de non-respect de l’obligation de notification dans les 72h.  En revanche, elle privilégie l’accompagnement lors de la réception des notifications dans les délais impartis.  Directive NIS: obligation de notification à l’ANSSI et risque d’amende personnelle incombant au dirigeant de l’entreprise (50 à 75 k Euros) OBLIGATIONS EN CAS DE VIOLATION DE DONNÉES PERSONNELLES
  • 8. HFW 8 Divulgation non autorisée de données personnelles, non-accessibilité, non-respect du droit à l’oubli, vol ou usurpation d’identité… Vis-à-vis des tiers: Préjudice moral Préjudice financier Pénalités contractuelles … Subis par le responsable du traitement: Pertes de production, de vente Perte d’un avantage compétitif (secret d’affaires) Préjudice d’image … QUELS DOMMAGES ?
  • 9. HFW 9 QUELLES RESPONSABILITES ? Conditions de la responsabilité du responsable du traitement:  Traitement effectué en violation du RGPD + dommage + lien de causalité  renversement de la charge de la preuve: c'est au responsable du traitement de démontrer que le traitement est conforme  toutefois, pour apprécier la conformité, il est tenu compte de la nature, portée, contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques Conditions de la responsabilité du sous-traitant:  Le sous-traitant n'a pas respecté les obligations qui lui incombent selon le RGPD ou a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci + dommage + lien de causalité  mais le sous-traitant peut s'exonérer s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable  donc: exonération fait du tiers, faute de la victime, cas fortuit Obligation in solidum RT et S-T vis-à-vis des tiers, recours entre eux selon le degré de responsabilité de chacun Penser à la rédaction des clauses de responsabilité dans le contrat de sous-traitance !
  • 10. HFW 10 27 2018 MERCI POUR VOTRE ATTENTION! IRIS VÖGEDING AVOCAT À LA COUR / RECHTSANWALT HFW IVO@HFW.COM
  • 12. HFW 12 EXPERIENCE CNIL source: www.cnil.fr Le secteur de l’hébergement et de la restauration est surreprésenté avec 185 notifications de violations.  Ce fort volume trouve son origine dans un cas particulier : un prestataire de service, fournissant à ses clients des outils de réservation, a été victime d’une violation de données.  Ce dernier a immédiatement averti tous ses clients de la violation et a mis en place un dispositif dédié afin de les accompagner dans leurs obligations
  • 15. HFW 15 Amendes administratives : Risque de sanctions administratives pour le responsable de traitement et le sous-traitant Selon l’infraction: Montant maximum de 10.000.000 euros ou 2% du chiffre d'affaire annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu, ou de 20.000.000 euros ou 4% du chiffre d'affaire annuel mondial. Caractère personnel des amendes administratives – assurabilité ? Risque pénal: Art. 226-16 à 226-22-1 du Code pénal, art. R 625-10 et s. du Code pénal: jusqu’à 5 ans de prison et 300.000 euros d’amende (x5 pour les personnes morales) Amendes spécifiques pour les dirigeants des OSE et FSN (Directive NIS) Action de groupe: Introduite par la loi du 18 novembre 2016, l'action de groupe ne permettait jusqu'ici que d'agir pour obtenir la cessation de manquements. Dans le cadre des marges de manœuvres laissées aux EM par le RGPD, la loi du 20 juin 2018 a étendu l'action de groupe à la réparation des préjudices matériels et moraux AMENDES / ACTION DE GROUPE