Le document aborde les responsabilités et les risques liés au traitement des données personnelles selon le RGPD et la directive NIS, soulignant l'importance de la conformité et des mesures techniques appropriées. Il met également en évidence les sanctions potentielles allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial pour non-conformité, ainsi que les obligations de notification en cas de violation de données. Des statistiques de la CNIL sont fournies pour illustrer les violations de données survenues après l'entrée en vigueur du RGPD.

1. RISQUES NUMÉRIQUES -
RESPONSABILITÉS
Conférence SIP – GP Assurance Finance
Iris Vögeding - HFW
19 novembre 2018

2. HFW 2

3. HFW 3
RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données)
Loi n°2018-493 du 20 juin 2018 modifiant la loi informatique et liberté et ses textes
d’application
Directive NIS (Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à
assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information
dans l'Union)
 Loi n°2018-133 du 26 février 2018 relative à la sécurité des réseaux et systèmes
d'information des opérateurs de services essentiels et des fournisseurs de service numérique
et textes d’application
PRINCIPAUX TEXTES ENTRÉS EN VIGUEUR EN 2018

4. HFW 4
 Responsabilisation des acteurs
 Obligation de conformité dès la conception du produit ou
service, par défaut, continue durant le traitement
 Droit souple: le responsable du traitement doit mettre en œuvre
des « mesures techniques et organisationnelles appropriées »
 Sanctions accrues
 RGPD: max. 20.000.000 euros ou 4% du chiffre d'affaire annuel mondial
Mais aussi:
 Directive NIS: Amendes pour les dirigeants des OSE et FSN
 Risque pénal
 Action de groupe
RAPPEL DES PRINCIPES

5. HFW 5
RETOUR D 'EXPERIENCE CNIL
source: www.cnil.fr
CNIL 1er bilan après entrée en vigueur RGPD du 16 octobre 2018 :
 742 notifications de violations, concernant plus de 33 millions de personnes
 Dont 65%: actes de malveillance , 15%: erreur humaine

6. HFW 6
 Information des personnes concernées, y compris lorsque les données sont
transmises par une personne morale
 Déterminer si le traitement est licite:
 Consentement de la personne concernée
 Traitement nécessaire à la mise en place ou l’exécution d’un contrat avec la personne concernée
 Intérêts légitimes
 Mise en place des contrats entre le responsable de traitement et le sous-traitant
 Détermination de la durée de stockage des données
 Transfert vers les pays tiers (hors UE) - Et après le Brexit ?
OBLIGATIONS EN AMONT

7. HFW 7
 Notifier à la CNIL dans un délai de 72 h à compter de la connaissance de la violation
(à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et
libertés des personnes physiques)
 Notifier à la personne concernée dans les meilleurs délais (à moins que la violation en
question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes
physiques) sauf si cela suppose des efforts disproportionnés >> Dans ce cas :
communication publique
 En l’absence de risque: consigner dans un cahier interne
 La CNIL adopte une approche répressive en cas de non-respect de l’obligation de
notification dans les 72h.
 En revanche, elle privilégie l’accompagnement lors de la réception des notifications
dans les délais impartis.
 Directive NIS: obligation de notification à l’ANSSI et risque d’amende personnelle
incombant au dirigeant de l’entreprise (50 à 75 k Euros)
OBLIGATIONS EN CAS DE VIOLATION DE DONNÉES PERSONNELLES

8. HFW 8
Divulgation non autorisée de données personnelles, non-accessibilité,
non-respect du droit à l’oubli, vol ou usurpation d’identité…
Vis-à-vis des tiers:
Préjudice moral
Préjudice financier
Pénalités contractuelles
…
Subis par le responsable du traitement:
Pertes de production, de vente
Perte d’un avantage compétitif (secret d’affaires)
Préjudice d’image
…
QUELS DOMMAGES ?

9. HFW 9
QUELLES RESPONSABILITES ?
Conditions de la responsabilité du responsable du traitement:
 Traitement effectué en violation du RGPD + dommage + lien de causalité
 renversement de la charge de la preuve: c'est au responsable du traitement de démontrer que le
traitement est conforme
 toutefois, pour apprécier la conformité, il est tenu compte de la nature, portée, contexte et des
finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques
Conditions de la responsabilité du sous-traitant:
 Le sous-traitant n'a pas respecté les obligations qui lui incombent selon le RGPD ou a agi en
dehors des instructions licites du responsable du traitement ou contrairement à celles-ci +
dommage + lien de causalité
 mais le sous-traitant peut s'exonérer s'il prouve que le fait qui a provoqué le dommage ne lui est pas
imputable
 donc: exonération fait du tiers, faute de la victime, cas fortuit
Obligation in solidum RT et S-T vis-à-vis des tiers, recours entre eux selon le degré de
responsabilité de chacun
Penser à la rédaction des clauses de responsabilité dans le contrat de sous-traitance !

10. HFW 10
27 2018
MERCI POUR
VOTRE
ATTENTION!
IRIS VÖGEDING
AVOCAT À LA COUR / RECHTSANWALT
HFW
IVO@HFW.COM

11. HFW 11
Annexes

12. HFW 12
EXPERIENCE CNIL
source:
www.cnil.fr
Le secteur de l’hébergement et de la restauration est surreprésenté avec
185 notifications de violations.
 Ce fort volume trouve son origine dans un cas particulier : un prestataire de service, fournissant à
ses clients des outils de réservation, a été victime d’une violation de données.
 Ce dernier a immédiatement averti tous ses clients de la violation et a mis en place un dispositif
dédié afin de les accompagner dans leurs obligations

13. HFW 13
EXPERIENCE CNIL
source: www.cnil.fr

14. HFW 14
EXPERIENCE CNIL
source: www.cnil.fr

15. HFW 15
Amendes administratives :
Risque de sanctions administratives pour le
responsable de traitement et le sous-traitant
Selon l’infraction: Montant maximum de
10.000.000 euros ou 2% du chiffre d'affaire annuel
mondial total de l'exercice précédent, le montant le
plus élevé étant retenu, ou de 20.000.000 euros
ou 4% du chiffre d'affaire annuel mondial.
Caractère personnel des amendes administratives
– assurabilité ?
Risque pénal: Art. 226-16 à 226-22-1 du Code
pénal, art. R 625-10 et s. du Code pénal: jusqu’à 5
ans de prison et 300.000 euros d’amende (x5 pour
les personnes morales)
Amendes spécifiques pour les dirigeants des OSE
et FSN (Directive NIS)
Action de groupe:
Introduite par la loi du 18 novembre 2016, l'action
de groupe ne permettait jusqu'ici que d'agir pour
obtenir la cessation de manquements.
Dans le cadre des marges de manœuvres
laissées aux EM par le RGPD, la loi du 20 juin
2018 a étendu l'action de groupe à la réparation
des préjudices matériels et moraux
AMENDES / ACTION DE GROUPE