SlideShare une entreprise Scribd logo
1  sur  40
Télécharger pour lire hors ligne
Partenaire technologique et analytique des
services marketing des entreprises.
Subject matter | Client Details
Page 1
© Bird & Bird LLP 2017
© Bird & Bird LLP 2017
ATELIER DE FORMATION
GDPR
Se préparer à la nouvelle règlementation
GDPR
Par Mérav Griguer
Avocat associée
Octobre 2017
1. Le nouveau Règlement européen (GDPR):
plus que 7 mois pour se mettre en
conformité !
Les fondamentaux
Page 4
A. Quoi ?
 Qu’est-ce qu’une donnée à caractère personnel ?
 Toute information relative à une personne physique identifiée ou identifiable de
manière directe ou indirecte
• Concerne toute personne physique : salariés, clients, prospects, prestataires,
fournisseurs, sous-traitants, etc.
• Exemples : nom, prénom, date de naissance, adresse
du domicile, adresse fiscale, identité bancaire, situation professionnelle, revenus,
patrimoine, logs de connexion, adresse IP, matricule salarié, photographie, etc.
Page 5
A. Quoi ?
 Qu’est-ce qu’un traitement de données à caractère personnel ?
 « Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données ou des ensembles de données à caractère
personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la
conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, la diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la
destruction ».
(Définition du nouveau Règlement européen)
• Exemples : « tenue des comptes clients », « lutte contre la fraude », « octroi et
gestion des crédits ou prêts consentis à des personnes physiques », « suivi des
activités relatives aux instruments financiers », « établissement et mise à jour des
listes d'initiés », etc.
Page 6
A. Quoi ?
 Idées reçues : « je ne suis pas concerné(e) car ...
• Je n'ai qu'un fichier papier, je n'enregistre pas les données sur mon ordinateur »
• Je ne traite aucune donnée, c'est mon prestataire qui le fait »
• Je me contente de lire et consulter les informations »
• Je n'utilise pas de logiciel, seulement un tableau ou document word, excel »
• Je fais uniquement une copie par scan que je garde sur mon ordi »
• Je ne collecte pas des données sensibles ou qui portent atteinte à la vie privée »
• Je ne collecte pas les noms et prénoms »
• Je ne collecte et traite que des données qui concernent des personnes morales »
• Je ne collecte que des données financières »
• Je ne collecte que des données techniques (adresse IP, URL, données de
connexion, etc...) »
• J'anonymise les personnes qui ne sont désignées que par un
matricule/numéro/code »
• Je ne collecte que des données "publiques" trouvées sur internet »
• Je collecte uniquement des données professionnelles sur les salariés ou clients »
Page 7
Qui ?
● Responsable de traitement : personne qui détermine les finalités et les moyens du
traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du responsable de
traitement
Subject matter | Client Details
Page 8
© Bird & Bird LLP 2017
B. Jusqu'où ?
 Champ d'application territorial
 Responsable de traitement ou sous-traitant établi sur le territoire de l'UE
- ... même si le traitement est réalisé en pratique hors de l'UE !
 Responsable de traitement ou sous-traitant établi en-dehors de l'UE mais
traitement de données relatives à des personnes situées dans l'UE
- Traitement lié à l'offre de biens ou de services à ces personnes (rémunérée ou non)
- Traitement lié au suivi au du comportement de ces personnes dans l'UE
Page 9
Page 10
C. Pourquoi ?
 Sanctions pénales
 Sanctions administratives de la CNIL
 Avertissement qui peut être rendu public
 Demande de suspension du traitement
• risque de désorganisation de l’entreprise, baisse
d’activité, frein à la compétitivité, coût financier, etc.
 Retrait de l’autorisation accordée par la CNIL
 Mise en demeure de cesser l’infraction
 Sanction pécuniaire
• Aujourd'hui: jusqu'à 3 millions d'euros
• Demain: jusqu'à 20 millions d'euros ou 4% du chiffre
d'affaires annuel mondial
 Publicité des sanctions
Ce qui change
Page 12
Augmentation des sanctions
GDPR – Nouveau règlement européen d'application directe
en mai 2018
Cas de violations Sanctions Financières
1ere catégorie :
● Manquement à l'obligation de traitement loyal
des données collectées, traitement de données
sensibles ;
● Absence d'information / consentement,
● Manquement aux droits d'accès, de rectification,
d'opposition, au droit à l'oubli, au droit à la
portabilité des données… ;
● Non respect des règles relatives au transfert de
données à caractère personnel dans un pays tiers ;
● Non respect d'une injonction de la CNIL.
Jusqu'à 4% du chiffre
d'affaires mondial annuel
de l'entreprise
20 millions d'€ pour les
autres
2nde catégorie :
Les autres manquements : défaut de tenue du registre
des traitements ; absence de notification d'une faille
de sécurité, manquement à l'obligation de sécurité,
absence de "Privacy by design", absence d'étude
d'impact, non-désignation d'un délégué à la
protection des données personnelles….
Jusqu'à 2% du chiffre
d'affaires mondial annuel
de l'entreprise
10 millions d'€ pour les
autres
Nouvelle loi
Informatique
et Libertés
(issue de la loi
Lemaire) :
sanctions de la
CNIL jusqu'à 3
millions
d'euros
+ Class Action
Actions de groupe
Page 13
● Déjà présentes dans la loi
Informatique et Libertés depuis
novembre 2016
 Permettent de faire cesser le
manquement à la loi I&L
 Dommages et intérêts ?
● GDPR prévoit la possibilité de se
faire représenter individuellement
par un organisme, une
organisation ou une association
afin d'obtenir réparation (art. 80)
E-reputation
Page 14
20.000 € 10.000 €
45.000 €
Avertissement
public
50.000 €
20.000 €
15.000 €
Avertissement
public
Avertissement
public Avertissement
public
Avertissement
public
40.000 €40.000 €
E-reputation
Page 15
Avertissement
public
100.000 €,
150.000 € …
150.000 €
Page 16
E-reputation
Mise en demeure
publique
Avertissement
public
Page 17
ROI
 Communication / Image de marque
 Critère de distinctivité
 Argument commercial
https://www.youtube.com/watch?v=Evahh1PXJIg
 Avantage concurrentiel / Appels d'Offres
D. Comment ?
 5 règles fondamentales à respecter
1. Traiter les données à caractère personnel (DP) pour
une finalité déterminée et légitime
2. Collecter les DP strictement nécessaires et adéquates
à chaque finalité poursuivie
3. Informer et respecter le droit des personnes dont les
DP sont traitées
4. Limiter la durée de conservation des DP à la
réalisation de la finalité poursuivie
5. Assurer la sécurité physique des locaux, la sécurité
logique des SI et la confidentialité des DP
Page 18
Page 19
Les piliers de la protection des données
Sécurité&
Confidentialité
Droit des
personnes
Privacy
by design/
by default
Base légale
Politiques et procédures
PIA
Gouvernance &
Management des
données
● Anticiper et mettre en place
des programmes de
conformité afin d'être prêt
au 25 mai 2018
 Premières opérations
de contrôle par les
autorités de protection
des données
Page 20
Les nouvelles obligations
Nouveaux
droits
Notification
des violations
New OPT-
IN
Co-
responsab
ilité
DPO
Information
renforcée
PIA
Privacy by
design/ by
default
Registres
de
traitements
Focus sur les impacts du GDPR
Page 22
Focus : Obligation de désigner un DPO
• Les organismes et autorités publics
• Les entreprises privées…
• Si leurs activités de base consistent en des traitements qui exigent un suivi
régulier et systématique à grande échelle des personnes concernées
• Si leurs activités de base consistent en des traitements à grande échelle de
données sensibles ou de données relatives aux condamnations et
infractions
• Les responsables de traitements comme les sous-traitants !
• Pour les entreprises n'entrant pas dans ces critères, la
désignation d'un DPO est toutefois fortement recommandée
Qui est concerné ?
• Désignation sur la base de ses qualités professionnelles et de ses
connaissances spécialisées de la législation et des pratiques
• Indépendance – absence de conflits d’intérêts – secret professionnel
• Mutualisation et externalisation : possible sous conditions
Comment choisir son DPO ?
Page 23
Focus : Le registre des traitements
 Tenue du Registre (Art. 30 du GDPR) :
 Obligation d'élaborer et de tenir à jour le registre de tous
les traitements
 Remplace les déclarations auprès de l'autorité de contrôle
dans la majeure partie des cas
 S'applique à la fois aux responsables de traitements et aux
sous-traitants
 Le registre devra pouvoir être communiqué à la CNIL sur
demande
Focus : Les droits des personnes
 Droits dont disposent les personnes concernées
 Droit d’information et droit d’accès à leurs données
 Droit de modification et de suppression de leurs données (ex.: si inexactitudes ou si
fin de la relation)
 Droit d’opposition au traitement pour des motifs légitimes (ex.: image pour
trombinoscope versus image pour badge de sécurité)
 Droit à l’oubli, i.e. « le droit de changer d’avis et de changer de vie »
 Droit à la portabilité des données*
 Droit à la limitation des traitements
 Droit de définir des directives relatives au sort de ses données personnelles après sa
mort (testament numérique)*
* LRN
Page 24
Page 25
Focus : Le consentement
 Nouvelle définition
 Un acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque
l'accord de la personne concernée
• qui doit être donné pour chaque finalité
• qui doit pouvoir être retiré aussi simplement qu'il a été donné
 Exemples de consentement non valide :
• silence de la personne
• cases pré-cochées
• absence d'action
• déséquilibre manifeste entre la personne concernée et le responsable de
traitement
• lien de subordination
• contrats d'adhésion, etc.
Page 26
Focus : Les études d'impact (PIA)
● Obligatoire pour certains traitements particuliers
• Profilage (ex. : scoring)
• Traitement à grande échelle de données sensibles
• Surveillance systématique et à grande échelle d'une zone accessible
au public
• Tout autre traitement listé comme tel par l'autorité de contrôle
("traitements les plus risqués")
● Méthodologie publiée dès 2012 par la CNIL (dernière MAJ :
2015) – à suivre
● Mise en place d'un "bac à sable" par la CNIL – à suivre
Privacy by design
Page 27
Subject matter | Client Details© Bird & Bird LLP 2017
● Se traduit par « protection des données dès la conception »
● Mise en œuvre des mesures techniques et organisationnelles
permettant d'assurer une protection des données au début, et
tout au long, du cycle de vie d'une application ou solution
● Exemples de mesures:
• Minimisation des données collectées
• Ajout d'un contrôle pour recueillir le consentement de la
personne
• Ajout des mentions d'information sur l'interface graphique
• Chiffrement des données lorsque nécessaire
• « Pseudonymisation » : remplacement d'une donnée à
caractères personnel par un pseudonyme
• Suppression automatique des données à la fin de leur durée
de conservation
Privacy by default :
Ne collecter et traiter,
par défaut,
qu'exclusivement les
données à caractère
personnel strictement
nécessaires à la
finalité poursuivie
par le traitement.
La monétisation des données
Page 28
Valorisation interne
● Nouvelle définition du profilage : "toute forme de traitement automatisé de
données personnelles consistant à utiliser ces données pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou prédire
des éléments concernant le rendement au travail, la situation économique, la santé,
les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation
ou les déplacements de cette personne physique"
• Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation des
rendements, scoring…
● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre
● Monétisation : valorisation des données
par l'entreprise qui les détient
• … soit dans le cadre de sa propre
activité (big data, profilage)
• … soit par leur partage avec des tiers
(vente de fichiers, mise à disposition)
Le profilage
Page 29
Traitement
de données
automatisé,
pour évaluer,
prédire, analyser
des personnalités,
des comportements
PROFILAGE
● Information de la personne concernée sur l'existence du profilage, sa logique sous-
jacente et ses conséquences prévues (art. 13)
● Droit de s'opposer au profilage lié à des fins de prospection (art. 21)
● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et
affectant de manière significative la personne concernée (art. 22)
• PIA obligatoire pour ces traitements (art. 35)
Le profilage et la publicité ciblée
Page 30
Stockage et
accès aux
cookies
Profilage
(traitement
des données)
Envoi de
communications
commerciales
Opt-in
Opt-in
Opt-in
Opt-out
(au-delà de la première
vente, pour des produits
ou services analogues)
● Articulation du GDPR et du Code
des Postes et des Communications
Electroniques
• Utilisation de cookies :
consentement obligatoire de
l'utilisateur (opt-in)
• Envoi de communications
commerciales : consentement
obligatoire (opt-in) sauf
exception pour l'offre de
produits et services analogues
à ceux déjà vendus (opt-out)
● Proposition de règlement
"e-Privacy" du 10 janvier 2017 :
harmonisation de ces règles dans
toute l'UE
La violation des données
• 177.300 cyberattaques quotidiennes à travers le monde
• Plus de 8 entreprises sur 10 ont déjà été victimes de
cyberattaque
• 5 à 10 % du budget d’une entreprise consacré à la
cybersécurité
• Plus de 35% des incidents de cybersécurité ont été générés
par des collaborateurs
Subject matter | Client Details
Page 31
© Bird & Bird LLP 2017
Page 32
© Bird & Bird LLP 2017
Cybersecurité et vous ?
• Sondage
Avez-vous un mot de passe suffisamment sécurisé ?
https://www.youtube.com/watch?v=opRMrEfAIiI
https://youtu.be/opRMrEfAIiI
Page 33
© Bird & Bird LLP 2017
Mesures et actions à mettre en place
• Mesures de prévention et limitation des risques
- Audit des politiques, procédures et pratiques
- Formation du personnel utilisateur
- Formation du personnel admin
- Audit des contrats (cloud)
- Assurance
• Anticipation de gestion de crise en cas d'incidents/de failles de sécurité ou violation des
données
- Respect réglementation applicable: procédure de prévention et gestion des incidents
- Communication interne et externe
- Investigations pour identifier la cause / l'auteur
Page 34
Transferts internationaux
● Pays reconnus par la Commission Européenne comme offrant un
niveau de protection adéquat (transferts autorisés)
• Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey,
Nouvelle-Zélande, Suisse, Uruguay
● Pour les autres pays, prévoir des garanties par contrat (clauses
standard de l'UE), BCR, Privacy Shield
• Privacy Policy
• Procédure de gestion des plaintes
• Programmes de formation des salariés à la Protection des Données
• Procédures d'audit et programmes d'audit
• Contrat inter-entreprises
Page 35
Obligations et responsabilités partagées
TO DO
 Audit complet des
contrats pour clarifier
la qualification des
parties
 Revue et mise à jour
des clauses clés
 Intégration des clauses
obligatoires
Responsable de traitement
Data controller
Responsable de traitement
Data controller
Responsable de traitement
Data controller
Sous-traitant
Data processor
● Responsable de traitement : personne qui détermine les finalités
et les moyens du traitement de données personnelles
• Possibilité d'avoir deux responsables : responsabilité conjointe
● Sous-traitant : personne qui traite des données pour le compte du
responsable de traitement
Comment NP6 gère sa mise en
conformité et opère la protection
de vos données ?
Subject matter | Client Details
Page 36
© Bird & Bird LLP 2017
2. Plan d'actions
Timeline – Plan d'actions de mise en conformité
2017 2018
Entrée en
application
Deadline
Etat des lieux -
Audit des
traitements et
identification
des points de
non-conformité
à corriger
Définition
d'un
référentiel des
durées de
conservation
Finalisation
documentation
obligatoire
Analyse et
adaptation des
mentions
d'information
obligatoires
Nouveaux droits
(limitation,
portabilité, droit
à l'oubli…)
Aujourd'hui
Formation
GDPR
Réunion Groupe
de travail
constitué du
futur réseau du
DPO + adoption
du programme
de conformité au
GDPR
Transferts de
données hors UE
Privacy by
design
Instruments
d'accountability
MaiAvrilMarsFévrierJanvierDécembreNovembreOctobre
Nomination
du futur
DPO
Etudes
d'impact
Revue des typologies
de contrats pour
intégration et
encadrement de la
coresponsabilité
responsable de
traitement / sous-
traitant
Registre(s)
des
traitements
Opérations de
formation et de
sensibilisation du
personnel
Découvrez les prochains rendez-vous NP6 !
Subject matter | Client Details
Page 39
© Bird & Bird LLP 2017
Merav Griguer
Avocat Associée
Direct +33 1 42 68 6706
Mob +33 6 16 71 1485
merav.griguer@twobirds.com
@MeravGriguer
Merci !
www.np6.com

Contenu connexe

Tendances

Tendances (20)

Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 
RGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, OutilsRGPD / GDPR : Principes, Démarche, Outils
RGPD / GDPR : Principes, Démarche, Outils
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
Gdpr presentation
Gdpr   presentationGdpr   presentation
Gdpr presentation
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 

Similaire à Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir pour bien gérer son impact sur votre activité marketing

Similaire à Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir pour bien gérer son impact sur votre activité marketing (20)

Grand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & BirdGrand Format "Data to Consumer" - Présentation Bird & Bird
Grand Format "Data to Consumer" - Présentation Bird & Bird
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpd
 
Rgpd
RgpdRgpd
Rgpd
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
RGPD et Loi de finances : quels impacts pour vos sites internet ? - Février ...
 
RGPD
RGPDRGPD
RGPD
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Rgpd et marketing digital
Rgpd et marketing digitalRgpd et marketing digital
Rgpd et marketing digital
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
earlegal #5 - Comment protéger l’investissement de mon entreprise dans un pro...
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?Le CIL EXTERNE, pourquoi faire?
Le CIL EXTERNE, pourquoi faire?
 
Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire? Un CIL EXTERNE, pourquoi faire?
Un CIL EXTERNE, pourquoi faire?
 
Comment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPDComment SendinBlue s'est adapté au RGPD
Comment SendinBlue s'est adapté au RGPD
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 

Plus de NP6

Plus de NP6 (20)

Digitalisation & Customer Data Platform - Comment Henkel réussi à capitaliser...
Digitalisation & Customer Data Platform - Comment Henkel réussi à capitaliser...Digitalisation & Customer Data Platform - Comment Henkel réussi à capitaliser...
Digitalisation & Customer Data Platform - Comment Henkel réussi à capitaliser...
 
Marketing Automation : Entre mythe & réalité - Témoignage d'Harmonie Mutuelle
Marketing Automation : Entre mythe & réalité - Témoignage d'Harmonie MutuelleMarketing Automation : Entre mythe & réalité - Témoignage d'Harmonie Mutuelle
Marketing Automation : Entre mythe & réalité - Témoignage d'Harmonie Mutuelle
 
NP6 révolutionne les méthodes de segmentation - avec le témoignage du Groupe PSA
NP6 révolutionne les méthodes de segmentation - avec le témoignage du Groupe PSANP6 révolutionne les méthodes de segmentation - avec le témoignage du Groupe PSA
NP6 révolutionne les méthodes de segmentation - avec le témoignage du Groupe PSA
 
Marketing automation : entre mythe et réalité
Marketing automation : entre mythe et réalitéMarketing automation : entre mythe et réalité
Marketing automation : entre mythe et réalité
 
Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...
Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...
Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...
 
Workshop : Segmenter sa base client - Bonnes pratiques, approches innovantes,...
Workshop : Segmenter sa base client - Bonnes pratiques, approches innovantes,...Workshop : Segmenter sa base client - Bonnes pratiques, approches innovantes,...
Workshop : Segmenter sa base client - Bonnes pratiques, approches innovantes,...
 
Marketing Automation - Entre mythe & réalité
Marketing Automation - Entre mythe & réalitéMarketing Automation - Entre mythe & réalité
Marketing Automation - Entre mythe & réalité
 
Do & don’t délivrabilité – mythes et bonnes pratiques
Do & don’t délivrabilité – mythes et bonnes pratiquesDo & don’t délivrabilité – mythes et bonnes pratiques
Do & don’t délivrabilité – mythes et bonnes pratiques
 
Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...
Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...
Quand Feedback Management et CRM ne font plus qu'un au service de l'engagemen...
 
De la DMP au Marketing Automation - Les stratégies gagnantes
De la DMP au Marketing Automation - Les stratégies gagnantesDe la DMP au Marketing Automation - Les stratégies gagnantes
De la DMP au Marketing Automation - Les stratégies gagnantes
 
De la DMP au marketing automation : Découvrez les stratégies gagnantes de Can...
De la DMP au marketing automation : Découvrez les stratégies gagnantes de Can...De la DMP au marketing automation : Découvrez les stratégies gagnantes de Can...
De la DMP au marketing automation : Découvrez les stratégies gagnantes de Can...
 
Comment collecter légalement et activer efficacement ses données ?
Comment collecter légalement et activer efficacement ses données ?Comment collecter légalement et activer efficacement ses données ?
Comment collecter légalement et activer efficacement ses données ?
 
Conférence DMP : bonnes pratiques et cas d’usage
Conférence DMP : bonnes pratiques et cas d’usageConférence DMP : bonnes pratiques et cas d’usage
Conférence DMP : bonnes pratiques et cas d’usage
 
Segmentation, planification, simulation
Segmentation, planification, simulationSegmentation, planification, simulation
Segmentation, planification, simulation
 
Révolution dans le monde des études !
Révolution dans le monde des études !Révolution dans le monde des études !
Révolution dans le monde des études !
 
Une DMP, ça ne sert à rien !
Une DMP, ça ne sert à rien !Une DMP, ça ne sert à rien !
Une DMP, ça ne sert à rien !
 
Recherche opérationnelle : les maths arrivent dans l'emailing !
Recherche opérationnelle : les maths arrivent dans l'emailing !Recherche opérationnelle : les maths arrivent dans l'emailing !
Recherche opérationnelle : les maths arrivent dans l'emailing !
 
De la DMP au Marketing automation, de l’insight à l’action
De la DMP au Marketing automation, de l’insight à l’actionDe la DMP au Marketing automation, de l’insight à l’action
De la DMP au Marketing automation, de l’insight à l’action
 
La simulation pour améliorer la satisfaction client
La simulation pour améliorer la satisfaction clientLa simulation pour améliorer la satisfaction client
La simulation pour améliorer la satisfaction client
 
Emailing et Authentification : protégez votre marque et améliorez votre déliv...
Emailing et Authentification : protégez votre marque et améliorez votre déliv...Emailing et Authentification : protégez votre marque et améliorez votre déliv...
Emailing et Authentification : protégez votre marque et améliorez votre déliv...
 

Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir pour bien gérer son impact sur votre activité marketing

  • 1. Partenaire technologique et analytique des services marketing des entreprises. Subject matter | Client Details Page 1 © Bird & Bird LLP 2017
  • 2. © Bird & Bird LLP 2017 ATELIER DE FORMATION GDPR Se préparer à la nouvelle règlementation GDPR Par Mérav Griguer Avocat associée Octobre 2017
  • 3. 1. Le nouveau Règlement européen (GDPR): plus que 7 mois pour se mettre en conformité !
  • 5. A. Quoi ?  Qu’est-ce qu’une donnée à caractère personnel ?  Toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte • Concerne toute personne physique : salariés, clients, prospects, prestataires, fournisseurs, sous-traitants, etc. • Exemples : nom, prénom, date de naissance, adresse du domicile, adresse fiscale, identité bancaire, situation professionnelle, revenus, patrimoine, logs de connexion, adresse IP, matricule salarié, photographie, etc. Page 5
  • 6. A. Quoi ?  Qu’est-ce qu’un traitement de données à caractère personnel ?  « Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ». (Définition du nouveau Règlement européen) • Exemples : « tenue des comptes clients », « lutte contre la fraude », « octroi et gestion des crédits ou prêts consentis à des personnes physiques », « suivi des activités relatives aux instruments financiers », « établissement et mise à jour des listes d'initiés », etc. Page 6
  • 7. A. Quoi ?  Idées reçues : « je ne suis pas concerné(e) car ... • Je n'ai qu'un fichier papier, je n'enregistre pas les données sur mon ordinateur » • Je ne traite aucune donnée, c'est mon prestataire qui le fait » • Je me contente de lire et consulter les informations » • Je n'utilise pas de logiciel, seulement un tableau ou document word, excel » • Je fais uniquement une copie par scan que je garde sur mon ordi » • Je ne collecte pas des données sensibles ou qui portent atteinte à la vie privée » • Je ne collecte pas les noms et prénoms » • Je ne collecte et traite que des données qui concernent des personnes morales » • Je ne collecte que des données financières » • Je ne collecte que des données techniques (adresse IP, URL, données de connexion, etc...) » • J'anonymise les personnes qui ne sont désignées que par un matricule/numéro/code » • Je ne collecte que des données "publiques" trouvées sur internet » • Je collecte uniquement des données professionnelles sur les salariés ou clients » Page 7
  • 8. Qui ? ● Responsable de traitement : personne qui détermine les finalités et les moyens du traitement de données personnelles • Possibilité d'avoir deux responsables : responsabilité conjointe ● Sous-traitant : personne qui traite des données pour le compte du responsable de traitement Subject matter | Client Details Page 8 © Bird & Bird LLP 2017
  • 9. B. Jusqu'où ?  Champ d'application territorial  Responsable de traitement ou sous-traitant établi sur le territoire de l'UE - ... même si le traitement est réalisé en pratique hors de l'UE !  Responsable de traitement ou sous-traitant établi en-dehors de l'UE mais traitement de données relatives à des personnes situées dans l'UE - Traitement lié à l'offre de biens ou de services à ces personnes (rémunérée ou non) - Traitement lié au suivi au du comportement de ces personnes dans l'UE Page 9
  • 10. Page 10 C. Pourquoi ?  Sanctions pénales  Sanctions administratives de la CNIL  Avertissement qui peut être rendu public  Demande de suspension du traitement • risque de désorganisation de l’entreprise, baisse d’activité, frein à la compétitivité, coût financier, etc.  Retrait de l’autorisation accordée par la CNIL  Mise en demeure de cesser l’infraction  Sanction pécuniaire • Aujourd'hui: jusqu'à 3 millions d'euros • Demain: jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial  Publicité des sanctions
  • 12. Page 12 Augmentation des sanctions GDPR – Nouveau règlement européen d'application directe en mai 2018 Cas de violations Sanctions Financières 1ere catégorie : ● Manquement à l'obligation de traitement loyal des données collectées, traitement de données sensibles ; ● Absence d'information / consentement, ● Manquement aux droits d'accès, de rectification, d'opposition, au droit à l'oubli, au droit à la portabilité des données… ; ● Non respect des règles relatives au transfert de données à caractère personnel dans un pays tiers ; ● Non respect d'une injonction de la CNIL. Jusqu'à 4% du chiffre d'affaires mondial annuel de l'entreprise 20 millions d'€ pour les autres 2nde catégorie : Les autres manquements : défaut de tenue du registre des traitements ; absence de notification d'une faille de sécurité, manquement à l'obligation de sécurité, absence de "Privacy by design", absence d'étude d'impact, non-désignation d'un délégué à la protection des données personnelles…. Jusqu'à 2% du chiffre d'affaires mondial annuel de l'entreprise 10 millions d'€ pour les autres Nouvelle loi Informatique et Libertés (issue de la loi Lemaire) : sanctions de la CNIL jusqu'à 3 millions d'euros + Class Action
  • 13. Actions de groupe Page 13 ● Déjà présentes dans la loi Informatique et Libertés depuis novembre 2016  Permettent de faire cesser le manquement à la loi I&L  Dommages et intérêts ? ● GDPR prévoit la possibilité de se faire représenter individuellement par un organisme, une organisation ou une association afin d'obtenir réparation (art. 80)
  • 14. E-reputation Page 14 20.000 € 10.000 € 45.000 € Avertissement public 50.000 € 20.000 € 15.000 € Avertissement public Avertissement public Avertissement public Avertissement public 40.000 €40.000 €
  • 16. Page 16 E-reputation Mise en demeure publique Avertissement public
  • 17. Page 17 ROI  Communication / Image de marque  Critère de distinctivité  Argument commercial https://www.youtube.com/watch?v=Evahh1PXJIg  Avantage concurrentiel / Appels d'Offres
  • 18. D. Comment ?  5 règles fondamentales à respecter 1. Traiter les données à caractère personnel (DP) pour une finalité déterminée et légitime 2. Collecter les DP strictement nécessaires et adéquates à chaque finalité poursuivie 3. Informer et respecter le droit des personnes dont les DP sont traitées 4. Limiter la durée de conservation des DP à la réalisation de la finalité poursuivie 5. Assurer la sécurité physique des locaux, la sécurité logique des SI et la confidentialité des DP Page 18
  • 19. Page 19 Les piliers de la protection des données Sécurité& Confidentialité Droit des personnes Privacy by design/ by default Base légale Politiques et procédures PIA Gouvernance & Management des données ● Anticiper et mettre en place des programmes de conformité afin d'être prêt au 25 mai 2018  Premières opérations de contrôle par les autorités de protection des données
  • 20. Page 20 Les nouvelles obligations Nouveaux droits Notification des violations New OPT- IN Co- responsab ilité DPO Information renforcée PIA Privacy by design/ by default Registres de traitements
  • 21. Focus sur les impacts du GDPR
  • 22. Page 22 Focus : Obligation de désigner un DPO • Les organismes et autorités publics • Les entreprises privées… • Si leurs activités de base consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées • Si leurs activités de base consistent en des traitements à grande échelle de données sensibles ou de données relatives aux condamnations et infractions • Les responsables de traitements comme les sous-traitants ! • Pour les entreprises n'entrant pas dans ces critères, la désignation d'un DPO est toutefois fortement recommandée Qui est concerné ? • Désignation sur la base de ses qualités professionnelles et de ses connaissances spécialisées de la législation et des pratiques • Indépendance – absence de conflits d’intérêts – secret professionnel • Mutualisation et externalisation : possible sous conditions Comment choisir son DPO ?
  • 23. Page 23 Focus : Le registre des traitements  Tenue du Registre (Art. 30 du GDPR) :  Obligation d'élaborer et de tenir à jour le registre de tous les traitements  Remplace les déclarations auprès de l'autorité de contrôle dans la majeure partie des cas  S'applique à la fois aux responsables de traitements et aux sous-traitants  Le registre devra pouvoir être communiqué à la CNIL sur demande
  • 24. Focus : Les droits des personnes  Droits dont disposent les personnes concernées  Droit d’information et droit d’accès à leurs données  Droit de modification et de suppression de leurs données (ex.: si inexactitudes ou si fin de la relation)  Droit d’opposition au traitement pour des motifs légitimes (ex.: image pour trombinoscope versus image pour badge de sécurité)  Droit à l’oubli, i.e. « le droit de changer d’avis et de changer de vie »  Droit à la portabilité des données*  Droit à la limitation des traitements  Droit de définir des directives relatives au sort de ses données personnelles après sa mort (testament numérique)* * LRN Page 24
  • 25. Page 25 Focus : Le consentement  Nouvelle définition  Un acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée • qui doit être donné pour chaque finalité • qui doit pouvoir être retiré aussi simplement qu'il a été donné  Exemples de consentement non valide : • silence de la personne • cases pré-cochées • absence d'action • déséquilibre manifeste entre la personne concernée et le responsable de traitement • lien de subordination • contrats d'adhésion, etc.
  • 26. Page 26 Focus : Les études d'impact (PIA) ● Obligatoire pour certains traitements particuliers • Profilage (ex. : scoring) • Traitement à grande échelle de données sensibles • Surveillance systématique et à grande échelle d'une zone accessible au public • Tout autre traitement listé comme tel par l'autorité de contrôle ("traitements les plus risqués") ● Méthodologie publiée dès 2012 par la CNIL (dernière MAJ : 2015) – à suivre ● Mise en place d'un "bac à sable" par la CNIL – à suivre
  • 27. Privacy by design Page 27 Subject matter | Client Details© Bird & Bird LLP 2017 ● Se traduit par « protection des données dès la conception » ● Mise en œuvre des mesures techniques et organisationnelles permettant d'assurer une protection des données au début, et tout au long, du cycle de vie d'une application ou solution ● Exemples de mesures: • Minimisation des données collectées • Ajout d'un contrôle pour recueillir le consentement de la personne • Ajout des mentions d'information sur l'interface graphique • Chiffrement des données lorsque nécessaire • « Pseudonymisation » : remplacement d'une donnée à caractères personnel par un pseudonyme • Suppression automatique des données à la fin de leur durée de conservation Privacy by default : Ne collecter et traiter, par défaut, qu'exclusivement les données à caractère personnel strictement nécessaires à la finalité poursuivie par le traitement.
  • 28. La monétisation des données Page 28 Valorisation interne ● Nouvelle définition du profilage : "toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique" • Valorisation directe par l'entreprise elle-même : publicité ciblée, optimisation des rendements, scoring… ● Publication de lignes directrices prévue par le G29 (fin 2017) – à suivre ● Monétisation : valorisation des données par l'entreprise qui les détient • … soit dans le cadre de sa propre activité (big data, profilage) • … soit par leur partage avec des tiers (vente de fichiers, mise à disposition)
  • 29. Le profilage Page 29 Traitement de données automatisé, pour évaluer, prédire, analyser des personnalités, des comportements PROFILAGE ● Information de la personne concernée sur l'existence du profilage, sa logique sous- jacente et ses conséquences prévues (art. 13) ● Droit de s'opposer au profilage lié à des fins de prospection (art. 21) ● Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un profilage et affectant de manière significative la personne concernée (art. 22) • PIA obligatoire pour ces traitements (art. 35)
  • 30. Le profilage et la publicité ciblée Page 30 Stockage et accès aux cookies Profilage (traitement des données) Envoi de communications commerciales Opt-in Opt-in Opt-in Opt-out (au-delà de la première vente, pour des produits ou services analogues) ● Articulation du GDPR et du Code des Postes et des Communications Electroniques • Utilisation de cookies : consentement obligatoire de l'utilisateur (opt-in) • Envoi de communications commerciales : consentement obligatoire (opt-in) sauf exception pour l'offre de produits et services analogues à ceux déjà vendus (opt-out) ● Proposition de règlement "e-Privacy" du 10 janvier 2017 : harmonisation de ces règles dans toute l'UE
  • 31. La violation des données • 177.300 cyberattaques quotidiennes à travers le monde • Plus de 8 entreprises sur 10 ont déjà été victimes de cyberattaque • 5 à 10 % du budget d’une entreprise consacré à la cybersécurité • Plus de 35% des incidents de cybersécurité ont été générés par des collaborateurs Subject matter | Client Details Page 31 © Bird & Bird LLP 2017
  • 32. Page 32 © Bird & Bird LLP 2017 Cybersecurité et vous ? • Sondage Avez-vous un mot de passe suffisamment sécurisé ? https://www.youtube.com/watch?v=opRMrEfAIiI https://youtu.be/opRMrEfAIiI
  • 33. Page 33 © Bird & Bird LLP 2017 Mesures et actions à mettre en place • Mesures de prévention et limitation des risques - Audit des politiques, procédures et pratiques - Formation du personnel utilisateur - Formation du personnel admin - Audit des contrats (cloud) - Assurance • Anticipation de gestion de crise en cas d'incidents/de failles de sécurité ou violation des données - Respect réglementation applicable: procédure de prévention et gestion des incidents - Communication interne et externe - Investigations pour identifier la cause / l'auteur
  • 34. Page 34 Transferts internationaux ● Pays reconnus par la Commission Européenne comme offrant un niveau de protection adéquat (transferts autorisés) • Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey, Nouvelle-Zélande, Suisse, Uruguay ● Pour les autres pays, prévoir des garanties par contrat (clauses standard de l'UE), BCR, Privacy Shield • Privacy Policy • Procédure de gestion des plaintes • Programmes de formation des salariés à la Protection des Données • Procédures d'audit et programmes d'audit • Contrat inter-entreprises
  • 35. Page 35 Obligations et responsabilités partagées TO DO  Audit complet des contrats pour clarifier la qualification des parties  Revue et mise à jour des clauses clés  Intégration des clauses obligatoires Responsable de traitement Data controller Responsable de traitement Data controller Responsable de traitement Data controller Sous-traitant Data processor ● Responsable de traitement : personne qui détermine les finalités et les moyens du traitement de données personnelles • Possibilité d'avoir deux responsables : responsabilité conjointe ● Sous-traitant : personne qui traite des données pour le compte du responsable de traitement
  • 36. Comment NP6 gère sa mise en conformité et opère la protection de vos données ? Subject matter | Client Details Page 36 © Bird & Bird LLP 2017
  • 38. Timeline – Plan d'actions de mise en conformité 2017 2018 Entrée en application Deadline Etat des lieux - Audit des traitements et identification des points de non-conformité à corriger Définition d'un référentiel des durées de conservation Finalisation documentation obligatoire Analyse et adaptation des mentions d'information obligatoires Nouveaux droits (limitation, portabilité, droit à l'oubli…) Aujourd'hui Formation GDPR Réunion Groupe de travail constitué du futur réseau du DPO + adoption du programme de conformité au GDPR Transferts de données hors UE Privacy by design Instruments d'accountability MaiAvrilMarsFévrierJanvierDécembreNovembreOctobre Nomination du futur DPO Etudes d'impact Revue des typologies de contrats pour intégration et encadrement de la coresponsabilité responsable de traitement / sous- traitant Registre(s) des traitements Opérations de formation et de sensibilisation du personnel
  • 39. Découvrez les prochains rendez-vous NP6 ! Subject matter | Client Details Page 39 © Bird & Bird LLP 2017
  • 40. Merav Griguer Avocat Associée Direct +33 1 42 68 6706 Mob +33 6 16 71 1485 merav.griguer@twobirds.com @MeravGriguer Merci ! www.np6.com