3. HFW 3
RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données)
Loi n°2018-493 du 20 juin 2018 modifiant la loi informatique et liberté et ses textes
d’application
Directive NIS (Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information
dans l'Union)
Loi n°2018-133 du 26 février 2018 relative à la sécurité des réseaux et systèmes
d'information des opérateurs de services essentiels et des fournisseurs de service numérique
et textes d’application
PRINCIPAUX TEXTES ENTRÉS EN VIGUEUR EN 2018
4. HFW 4
Responsabilisation des acteurs
Obligation de conformité dès la conception du produit ou
service, par défaut, continue durant le traitement
Droit souple: le responsable du traitement doit mettre en œuvre
des « mesures techniques et organisationnelles appropriées »
Sanctions accrues
RGPD: max. 20.000.000 euros ou 4% du chiffre d'affaire annuel mondial
Mais aussi:
Directive NIS: Amendes pour les dirigeants des OSE et FSN
Risque pénal
Action de groupe
RAPPEL DES PRINCIPES
5. HFW 5
RETOUR D 'EXPERIENCE CNIL
source: www.cnil.fr
CNIL 1er bilan après entrée en vigueur RGPD du 16 octobre 2018 :
742 notifications de violations, concernant plus de 33 millions de personnes
Dont 65%: actes de malveillance , 15%: erreur humaine
6. HFW 6
Information des personnes concernées, y compris lorsque les données sont
transmises par une personne morale
Déterminer si le traitement est licite:
Consentement de la personne concernée
Traitement nécessaire à la mise en place ou l’exécution d’un contrat avec la personne concernée
Intérêts légitimes
Mise en place des contrats entre le responsable de traitement et le sous-traitant
Détermination de la durée de stockage des données
Transfert vers les pays tiers (hors UE) - Et après le Brexit ?
OBLIGATIONS EN AMONT
7. HFW 7
Notifier à la CNIL dans un délai de 72 h à compter de la connaissance de la violation
(à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et
libertés des personnes physiques)
Notifier à la personne concernée dans les meilleurs délais (à moins que la violation en
question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes
physiques) sauf si cela suppose des efforts disproportionnés >> Dans ce cas :
communication publique
En l’absence de risque: consigner dans un cahier interne
La CNIL adopte une approche répressive en cas de non-respect de l’obligation de
notification dans les 72h.
En revanche, elle privilégie l’accompagnement lors de la réception des notifications
dans les délais impartis.
Directive NIS: obligation de notification à l’ANSSI et risque d’amende personnelle
incombant au dirigeant de l’entreprise (50 à 75 k Euros)
OBLIGATIONS EN CAS DE VIOLATION DE DONNÉES PERSONNELLES
8. HFW 8
Divulgation non autorisée de données personnelles, non-accessibilité,
non-respect du droit à l’oubli, vol ou usurpation d’identité…
Vis-à-vis des tiers:
Préjudice moral
Préjudice financier
Pénalités contractuelles
…
Subis par le responsable du traitement:
Pertes de production, de vente
Perte d’un avantage compétitif (secret d’affaires)
Préjudice d’image
…
QUELS DOMMAGES ?
9. HFW 9
QUELLES RESPONSABILITES ?
Conditions de la responsabilité du responsable du traitement:
Traitement effectué en violation du RGPD + dommage + lien de causalité
renversement de la charge de la preuve: c'est au responsable du traitement de démontrer que le
traitement est conforme
toutefois, pour apprécier la conformité, il est tenu compte de la nature, portée, contexte et des
finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques
Conditions de la responsabilité du sous-traitant:
Le sous-traitant n'a pas respecté les obligations qui lui incombent selon le RGPD ou a agi en
dehors des instructions licites du responsable du traitement ou contrairement à celles-ci +
dommage + lien de causalité
mais le sous-traitant peut s'exonérer s'il prouve que le fait qui a provoqué le dommage ne lui est pas
imputable
donc: exonération fait du tiers, faute de la victime, cas fortuit
Obligation in solidum RT et S-T vis-à-vis des tiers, recours entre eux selon le degré de
responsabilité de chacun
Penser à la rédaction des clauses de responsabilité dans le contrat de sous-traitance !
10. HFW 10
27 2018
MERCI POUR
VOTRE
ATTENTION!
IRIS VÖGEDING
AVOCAT À LA COUR / RECHTSANWALT
HFW
IVO@HFW.COM
12. HFW 12
EXPERIENCE CNIL
source:
www.cnil.fr
Le secteur de l’hébergement et de la restauration est surreprésenté avec
185 notifications de violations.
Ce fort volume trouve son origine dans un cas particulier : un prestataire de service, fournissant à
ses clients des outils de réservation, a été victime d’une violation de données.
Ce dernier a immédiatement averti tous ses clients de la violation et a mis en place un dispositif
dédié afin de les accompagner dans leurs obligations
15. HFW 15
Amendes administratives :
Risque de sanctions administratives pour le
responsable de traitement et le sous-traitant
Selon l’infraction: Montant maximum de
10.000.000 euros ou 2% du chiffre d'affaire annuel
mondial total de l'exercice précédent, le montant le
plus élevé étant retenu, ou de 20.000.000 euros
ou 4% du chiffre d'affaire annuel mondial.
Caractère personnel des amendes administratives
– assurabilité ?
Risque pénal: Art. 226-16 à 226-22-1 du Code
pénal, art. R 625-10 et s. du Code pénal: jusqu’à 5
ans de prison et 300.000 euros d’amende (x5 pour
les personnes morales)
Amendes spécifiques pour les dirigeants des OSE
et FSN (Directive NIS)
Action de groupe:
Introduite par la loi du 18 novembre 2016, l'action
de groupe ne permettait jusqu'ici que d'agir pour
obtenir la cessation de manquements.
Dans le cadre des marges de manœuvres
laissées aux EM par le RGPD, la loi du 20 juin
2018 a étendu l'action de groupe à la réparation
des préjudices matériels et moraux
AMENDES / ACTION DE GROUPE