SlideShare ist ein Scribd-Unternehmen logo

Data privacy - Fabrice Naftalski

Kezhan SHI
Kezhan SHI
Daten & Analysen
1 von 19
Downloaden Sie, um offline zu lesen
Membre du réseau Ernst & Young Global Limited Cadre juridique de la Protection des données personnelles droit positif et futur règlement européen / éléments de droit comparé / Big Data et Cloud computing … Institut des Actuaires / le 24 avril 2014 Par Fabrice Naftalski, Avocat Associé
Page 1 © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Contraintes Dataprivacy Sommaire 1. Champs d’application et définition, rappel du cadre actuel en Europe et en France 2. Le projet de règlement européen 3. Eléments de droit comparé 4. Illustrations : cloud et big data Démarche d’audit « Protection des données personnelles »
Démarche informatique et libertésPage 2 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Propos introductifs ► La réglementation des données à caractère personnel concerne toutes les sociétés établies en Europe ► En France : Loi n°78-17 du 6 janvier 1978 modifiée le 7 août 2004 afin de transposer la Directive européenne 95/46/CE (Loi « Informatique et Libertés ») ► Cette réglementation est d’ordre public dans les 28 pays européens ► En France, son respect est effectivement contrôlée par la CNIL (Commission Nationale Informatique et Libertés) ► Sa violation est sanctionnée par des sanctions pénales et financières ► Cette réglementation va se renforcer avec le projet de règlement sur la protection des données en cours de discussion à Bruxelles
© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Champs d’application et définition, rappel du cadre légal actuel en Europe et en France © 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Démarche informatique et libertésPage 4 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Champ d’application de la loi ► Champ d’application géographique ► Entreprises établies en France ► Entreprises établies hors de l’Union européenne mais collectant des données personnelles au moyen d’équipements situés en France (ex : serveur d’hébergement) ► Champ d’application matériel ► Tous les traitements de données personnelles, manuels ou automatisés, se rattachant à une personne physique ► Ne sont pas concernés les fichiers mis en œuvre dans le cadre d’activités exclusivement personnelles (site Internet personnel, blog…)
Démarche informatique et libertésPage 5 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quelques définitions… ► Donnée personnelle : Toute information concernant une personne physique identifiée ou identifiable ► Traitement : Toute opération appliquée à des données personnelles telle que la collecte, l’enregistrement, ou la communication ► Personne concernée : Personne physique à laquelle se rapportent les données qui font l’objet d’un traitement ► Responsable de traitement : La personne physique ou morale qui décide des finalités et des moyens du traitement de données personnelles ► Finalité : But/objet du traitement (par exemple : gestion de la formation, gestion de la communication externe…)
Démarche informatique et libertésPage 6 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quelques définitions… ► Sous-traitant : Toute personne qui traite des données personnelles pour le compte du responsable de traitement ► Tiers : Toute personne autre que le responsable de traitement ou le sous-traitant ► Correspondant Informatique et Libertés (« CIL ») : La personne chargée d’assurer au sein de l’entreprise le respect des obligations prévues par la loi du 6 janvier 1978 dont la désignation a été notifiée à la CNIL ► Données sensibles : Données personnelles révélant les origines raciales ou ethniques, les opinions politiques, philosophiques, ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle de la personne concernée
Démarche informatique et libertésPage 7 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Exigences actuelles basées sur directive 95/46 sur la protection des données personnelles Les grands principes de protection des données 1 2 Être obtenues pour une ou plusieurs finalitées déterminées et légitimes 3 Être adéquates, pertinentes et non excessives 4 Être exactes et tenues à jour 5 Ne pas être conservées plus longtemps que necessaire 6 Être traitées en conformité avec les droits de la personne identifiable 7 Être gardées en sécurité 8 Ne pas être transférées à des tiers en dehors de l’Espace économique européen (EEE), sauf conditions/garanties appropriées satisfaites Faire l’objet d’un traitement de données loyal et licite Bases légales // données sensibles Obligation d’Information Mesures de sécurité Formalités déclaratives Droits de la personne concernée Encadrement des transferts Les données personnelles traitées doivent:
Démarche informatique et libertésPage 8 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Loi Informatique et Libertés : quelles obligations, quelles sanctions, quelles actions ? Vos obligations légales Vos risques Actions à mener Déclarer les traitements de données à caractère personnel (RH, fraude, clients, stock options …) après avoir vérifié la faisabilité du traitement (base légale, caractère proportionné des données collectées …) ► Risque d’image auprès des clients et employés ► Sanctions financières prises par la CNIL (jusqu’à 300 000 euros) è illustrations : ► 30 000 euros / Tyco Healthcare, ► 150 000 euros / Google ► 45 000 euros / LCL ► 20 000 euros /CA Centre France ► 30 000 euros / société Leclerc Arcydis (distribution) pour défaut de déclaration et d’information des clients sur le traitement des informations les concernant, et pour défaut de politique de rétention des données (effacement régulier des données) ► Sanctions pénales (jusqu’à 1,5 million d’euros d’amende et 5 ans d’emprisonnement) ► Dommages et intérêts ► Risques juridiques collatéraux (invalidation d’un licenciement..) ► Risque opérationnel : interruption/suspension/interdiction des traitements Recenser vos traitements et les déclarer (ou réaliser l’inventaire tenu par le CIL) après revue et/ou adaptation pour permettre leur faisabilité juridique, définition d’une stratégie déclarative appropriée pour de nouveaux traitements Informer les personnes concernées Rédiger les procédures d’information et d’accès Protéger les données personnelles (sécurité/confidentialité) Revoir ou rédiger les aspects sécurité des contrats de sous-traitance portant sur des données personnelles Effacer les données régulièrement (droit à l’oubli) / limiter leur durée de conservation Concevoir une politique de rétention prenant en compte les obligations de conservation limitée/ d’effacement des données Permettre aux personnes concernées d’exercer leur droit d’accès, d’opposition et de correction Encadrer les transferts de données en dehors de l’UE Sécuriser les transferts en dehors de l’Union Européenne Revoir ou mettre en place le dispositif interne d’organisation de la conformité Informatique et Libertés
© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le projet de règlement européen © 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
Démarche informatique et libertésPage 10 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le projet de règlement européen publié le 25 janvier 2012 et amendé en Octobre 2013 (texte de compromis) ► De nouvelles définitions (« données biométriques », « groupe d’entreprises » …) et de nouveaux concepts (« accountability », « minimisation des données » …) ► Application plus large des règles de l’UE (y compris dans certains cas pour des entreprises qui n’ont ni établissement ni serveurs en Europe) ► Notification des failles de sécurité étendue à toutes les entreprises ► Désignation d’une seule autorité nationale de la protection des données en Europe pour chaque organisation mais avec des pouvoirs limités, les autorités nationales conservant la plupart de leurs prérogatives ► Simplification des formalités déclaratives ► Renforcement des procédures de gestion de la conformité (PIA, audits, documentation associée, désignation d’un CIL si plus de 5000 données de personnes physiques sont traitées sur 12 mois consécutifs ou en cas de traitement de certain type de données comme les données sensibles, les données de localisation ou portant sur les enfants…) ► Renforcement des sanctions financières ► Reconnaissance et promotion des BCRs, aménagement du régime des transferts hors UE ► Un cadre juridique s’imposant aux sous-traitants ► Renforcement des droits des personnes (droit à l’oubli et à la portabilité des données, consentement, granularité renforcée de l’information à communiquer …) ► Promotion du label européen de protection des données (impact sur les sanctions et transferts hors UE)
© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Droit comparé
Démarche informatique et libertésPage 12 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. La protection d’un droit fondamental en Europe / La protection du consommateur aux US Un cadre homogène en Europe / Des lois fédérales sectorielles et des lois étatiques aux US
© 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Questions posées par le Cloud computing et Big data
Démarche informatique et libertésPage 14 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. • Maîtriser les risques juridiques en matière de protection des données liés au recours à des solutions de Cloud Computing • Ménager la responsabilité des entreprises dans un contexte de traçabilité difficile des transferts de données. Risques et contraintes réglementaires ► Cloud Computing : hébergement des données sur différents serveurs, potentiellement chez différents sous-traitants et à différents moments • Incertitude sur le lieu d’hébergement des données • Or l’hébergement ou l’accès aux données depuis un pays situé en dehors de l’UE s’analyse comme un transfert de données personnelles à encadrer, sous peine de sanctions financières et pénales ► Obligations liées aux transferts de données à respecter : • Obligations déclaratives auprès de la CNIL • Obligations de sécurité • Obligations d’encadrer les transferts par des garanties appropriées ► Impacts du nouveau projet de règlement européen relatif à la protection des personnes physiques • Obligations d’ « accountability » • Obligations et responsabilité renforcées en matière de sécurité des données (+ notification des failles de sécurité) • Sanctions portées à 5% du CA mondial • Nouveaux outils de transferts 1 Points d’attention pour gérer ces risques 2 Bénéfices3 ► Evaluer ses risques en fonction de la nature des dispositifs de Cloud mis en œuvre ou en projet ► Définir une stratégie de conformité autour du Cloud: • Déterminer l’outil « déclaratif » et l’outil d’encadrement des transferts les plus appropriés • Porter une attention particulière à la rédaction du contrat « sous-traitant » • Anticiper sur la mise en œuvre à moyen terme du règlement européen • Communiquer sur les garanties renforcées entourant le Cloud pour la protection des données personnelles (environnement mieux disant?) ► Points aspects sécurité des données et cartographie des flux, référentiel sécurité à annexer aux contrats ► Réduire son degré d’exposition aux risques de non-conformité : • Risque d’image (Acadomia, Google ..) • Risque pénal (5 ans de prison/1,5 M d’euros) • Risque financier (jusqu’à 300 000 euros) ► Rassurer les parties prenantes sur la protection et la sécurité juridique des données qui sont gérées en mode Cloud en dehors de l’UE ► Encadrer le recours au Cloud computing pour limiter les risques tout en bénéficiant des avantages offerts par ces projets (flexibilité, coût …) Data Privacy et cloud computing
Démarche informatique et libertésPage 15 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. DataÉmission Action utilisateur Comportement surf Localisation OPT-OUT Cookies Favoris Historique OPT-IN Comportements Auto-modération Big data : comment Contrôler ses propres traces « Notre liberté se bâtit sur ce qu’autrui ignore de nos existences. » Alexandre Soljenitsyne
Démarche informatique et libertésPage 16 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. BIG DATA & DATA PRIVACY : des objectifs différents dont l’articulation peut être complexe ► BIG DATA vise à maximiser la valeur commerciale de la quantité d'informations disponibles dans une entreprise (par exemple, la vente de la suite de l'analyse de données à des tiers) ► BIG DATA vise à obtenir l'analyse des données résultant de la transformation de la quantité d'information disponible ► BIG DATA consiste à partir de données recueillies dans un contexte pour un but et réutilisés dans un autre contexte à des fins secondaires (souvent pas connues à l'étape de la collecte de données) ► Les Loi sur la protection des données visent à protéger tout traitement de données à caractère personnel effectué par une entité, y compris les flux d'information / communication à des tiers et le projet de règlement de l'UE va renforcer le niveau de contrainte pour la collecte de consentement ► La Loi sur la protection des données exige qu'aucune décision importante concernant une personne ne puisse être uniquement effectuée sur la base d'un traitement automatisé ► La Loi sur la protection des données permet le traitement de données uniquement à des fins légitimes et explicites spécifiques et accordent le droit aux individus d'être informés du traitement de leurs données personnelles (et à consentir dans certains cas) BIG DATA DATA PRIVACY
Démarche informatique et libertésPage 17 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Bonnes et mauvaises pratiques DON’T DO Réutiliser des données personnelles sans informer la personne concernée (ou obtenir le consentement préalable si nécessaire) Transfert de données personnelles vers des pays tiers sans protection suffisante Divulguer des informations personnelles sur un site Web sans en informer les personnes concernées Utiliser des données anonymisées afin d’atténuer les risques liés à la vie privée Informer les personnes concernées par l’utilisation de données personnelles et collecter leur consentement si besoin Déposer le traitement de données auprès de l’autorité locale de protection des données
Page 18 © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Contraintes Dataprivacy Des questions? Fabrice Naftalski Avocat associé Correspondant Informatique et Libertés d’Ernst & Young France Expert legal EuroPrise Faculty Member of IAPP (International Association of Privacy Professionals) Tel : 33 1 55 61 10 05 fabrice.naftalski@ey-avocats.com

Empfohlen

Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
Muriel Adamski
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données
Lexing - Belgium
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
AT Internet
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
Marseille Innovation
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 

Empfohlen

Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
Claranet
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
Muriel Adamski
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données earlegal #3 - Vers un nouveau règlement sur la protection des données
earlegal #3 - Vers un nouveau règlement sur la protection des données
Lexing - Belgium
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
AT Internet
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
Marseille Innovation
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
Eloquant
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
Zyxel France
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
aucompte xavier
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratique
Prof. Jacques Folon (Ph.D)
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
Philippe Mignen
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
Nuageo
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

Lexing - Belgium
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
Forums financiers de Wallonie
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
Lexing - Belgium
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
Lexing - Belgium
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
Thinkmarket
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & Antaes
Net Design
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
Pierre MASSOT
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
Everteam
 
Impact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learningImpact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learning
Leslie HUIN
 
RGPD
RGPDRGPD
RGPD
Chris Gaillard
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
Technofutur TIC
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdpr
Prof. Jacques Folon (Ph.D)
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
Caroline Meot
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
Denis VIROLE
 

Weitere ähnliche Inhalte

Was ist angesagt?

Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
Lexing - Belgium
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 

Was ist angesagt? (20)

RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratique
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref[Infographie] Le RGPD - en bref
[Infographie] Le RGPD - en bref
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & Antaes
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Impact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learningImpact du RGPD dans la formation et l'e-learning
Impact du RGPD dans la formation et l'e-learning
 
RGPD
RGPDRGPD
RGPD
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdpr
 

Andere mochten auch

Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016
Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016
Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016
FERMA
 
chaussures pas cher orthopediques pour le closing dans le confort de marche
chaussures pas cher orthopediques pour le closing dans le confort de marchechaussures pas cher orthopediques pour le closing dans le confort de marche
chaussures pas cher orthopediques pour le closing dans le confort de marche
drug35flower
 

Andere mochten auch (20)

Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016
Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016
Data protection webinar presentation AIG ecoDa FERMA 23 feb 2016
 
GDPR security services - Areyou ready ?
GDPR security services - Areyou ready ?GDPR security services - Areyou ready ?
GDPR security services - Areyou ready ?
 
Complying with Singapore Personal Data Protection Act - A Practical Guide
Complying with Singapore Personal Data Protection Act - A Practical GuideComplying with Singapore Personal Data Protection Act - A Practical Guide
Complying with Singapore Personal Data Protection Act - A Practical Guide
 
TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“TÜV-Zertifizierung „Geprüfte App“
TÜV-Zertifizierung „Geprüfte App“
 
Office 365 : Collaborez, communiquez, partagez.
Office 365 : Collaborez, communiquez, partagez.Office 365 : Collaborez, communiquez, partagez.
Office 365 : Collaborez, communiquez, partagez.
 
Aplicaciones web 2
Aplicaciones web 2Aplicaciones web 2
Aplicaciones web 2
 
Artecontemporaneoylacrisisecologista
ArtecontemporaneoylacrisisecologistaArtecontemporaneoylacrisisecologista
Artecontemporaneoylacrisisecologista
 
El multiculturalismo
El multiculturalismoEl multiculturalismo
El multiculturalismo
 
Kalaytek domotique maroc
Kalaytek domotique marocKalaytek domotique maroc
Kalaytek domotique maroc
 
Actividad 1. multiculturalismo joséluis cambrónmárquez
Actividad 1. multiculturalismo joséluis cambrónmárquezActividad 1. multiculturalismo joséluis cambrónmárquez
Actividad 1. multiculturalismo joséluis cambrónmárquez
 
Was sagen die Nutzer über den First Screen auf dem Second Screen?
Was sagen die Nutzer über den First Screen auf dem Second Screen?Was sagen die Nutzer über den First Screen auf dem Second Screen?
Was sagen die Nutzer über den First Screen auf dem Second Screen?
 
chaussures pas cher orthopediques pour le closing dans le confort de marche
chaussures pas cher orthopediques pour le closing dans le confort de marchechaussures pas cher orthopediques pour le closing dans le confort de marche
chaussures pas cher orthopediques pour le closing dans le confort de marche
 
Sesión 08
Sesión 08Sesión 08
Sesión 08
 
Clusters as Tool for Smart Specialisation and Regional Development
Clusters as Tool for Smart Specialisation and Regional DevelopmentClusters as Tool for Smart Specialisation and Regional Development
Clusters as Tool for Smart Specialisation and Regional Development
 
Tutoriel fais ton journal
Tutoriel fais ton journalTutoriel fais ton journal
Tutoriel fais ton journal
 
Die mobile Website als Beispiel für mobile Marketing
Die mobile Website als Beispiel für mobile MarketingDie mobile Website als Beispiel für mobile Marketing
Die mobile Website als Beispiel für mobile Marketing
 
Los Biomas
Los BiomasLos Biomas
Los Biomas
 
La connexion Outlook : présent et futur
La connexion Outlook : présent et futurLa connexion Outlook : présent et futur
La connexion Outlook : présent et futur
 

Ähnlich wie Data privacy - Fabrice Naftalski

Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Sollan France
 

Ähnlich wie Data privacy - Fabrice Naftalski (20)

RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
FEB - La protection des données
FEB - La protection des donnéesFEB - La protection des données
FEB - La protection des données
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnelles
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
Déjeuner-débat EIM360 | RGPD : Êtes-vous prêts ?
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpd
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18Atelier RGPD ANDRH 27.03.18
Atelier RGPD ANDRH 27.03.18
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 

Mehr von Kezhan SHI

B -technical_specification_for_the_preparatory_phase__part_ii_
B -technical_specification_for_the_preparatory_phase__part_ii_B -technical_specification_for_the_preparatory_phase__part_ii_
B -technical_specification_for_the_preparatory_phase__part_ii_
Kezhan SHI
 
A -technical_specification_for_the_preparatory_phase__part_i_
A -technical_specification_for_the_preparatory_phase__part_i_A -technical_specification_for_the_preparatory_phase__part_i_
A -technical_specification_for_the_preparatory_phase__part_i_
Kezhan SHI
 
20140806 traduction hypotheses_sous-jacentes_formule_standard
20140806 traduction hypotheses_sous-jacentes_formule_standard20140806 traduction hypotheses_sous-jacentes_formule_standard
20140806 traduction hypotheses_sous-jacentes_formule_standard
Kezhan SHI
 
20140613 focus-specifications-techniques-2014
20140613 focus-specifications-techniques-201420140613 focus-specifications-techniques-2014
20140613 focus-specifications-techniques-2014
Kezhan SHI
 
20140516 traduction spec_tech_eiopa_2014_bilan
20140516 traduction spec_tech_eiopa_2014_bilan20140516 traduction spec_tech_eiopa_2014_bilan
20140516 traduction spec_tech_eiopa_2014_bilan
Kezhan SHI
 
C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_
C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_
C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_
Kezhan SHI
 
Tableau de comparaison bilan S1 et bilan S2
Tableau de comparaison bilan S1 et bilan S2Tableau de comparaison bilan S1 et bilan S2
Tableau de comparaison bilan S1 et bilan S2
Kezhan SHI
 

Mehr von Kezhan SHI (20)

Big data fp prez nouv. formation_datascience_15-sept
Big data fp prez nouv. formation_datascience_15-septBig data fp prez nouv. formation_datascience_15-sept
Big data fp prez nouv. formation_datascience_15-sept
 
Big data fiche data science 15 09 14
Big data fiche data science 15 09 14Big data fiche data science 15 09 14
Big data fiche data science 15 09 14
 
Big data ads gouvernance ads v2[
Big data ads gouvernance ads v2[Big data ads gouvernance ads v2[
Big data ads gouvernance ads v2[
 
Big data f prez formation_datascience_14-sept
Big data f prez formation_datascience_14-septBig data f prez formation_datascience_14-sept
Big data f prez formation_datascience_14-sept
 
B -technical_specification_for_the_preparatory_phase__part_ii_
B -technical_specification_for_the_preparatory_phase__part_ii_B -technical_specification_for_the_preparatory_phase__part_ii_
B -technical_specification_for_the_preparatory_phase__part_ii_
 
A -technical_specification_for_the_preparatory_phase__part_i_
A -technical_specification_for_the_preparatory_phase__part_i_A -technical_specification_for_the_preparatory_phase__part_i_
A -technical_specification_for_the_preparatory_phase__part_i_
 
20140806 traduction hypotheses_sous-jacentes_formule_standard
20140806 traduction hypotheses_sous-jacentes_formule_standard20140806 traduction hypotheses_sous-jacentes_formule_standard
20140806 traduction hypotheses_sous-jacentes_formule_standard
 
20140613 focus-specifications-techniques-2014
20140613 focus-specifications-techniques-201420140613 focus-specifications-techniques-2014
20140613 focus-specifications-techniques-2014
 
20140516 traduction spec_tech_eiopa_2014_bilan
20140516 traduction spec_tech_eiopa_2014_bilan20140516 traduction spec_tech_eiopa_2014_bilan
20140516 traduction spec_tech_eiopa_2014_bilan
 
C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_
C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_
C -annexes_to_technical_specification_for_the_preparatory_phase__part_i_
 
Qis5 technical specifications-20100706
Qis5 technical specifications-20100706Qis5 technical specifications-20100706
Qis5 technical specifications-20100706
 
Directive solvabilité 2
Directive solvabilité 2Directive solvabilité 2
Directive solvabilité 2
 
Directive omnibus 2
Directive omnibus 2Directive omnibus 2
Directive omnibus 2
 
Tableau de comparaison bilan S1 et bilan S2
Tableau de comparaison bilan S1 et bilan S2Tableau de comparaison bilan S1 et bilan S2
Tableau de comparaison bilan S1 et bilan S2
 
Optimal discretization of hedging strategies rosenbaum
Optimal discretization of hedging strategies rosenbaumOptimal discretization of hedging strategies rosenbaum
Optimal discretization of hedging strategies rosenbaum
 
Machine learning pour les données massives algorithmes randomis´es, en ligne ...
Machine learning pour les données massives algorithmes randomis´es, en ligne ...Machine learning pour les données massives algorithmes randomis´es, en ligne ...
Machine learning pour les données massives algorithmes randomis´es, en ligne ...
 
Détection de profils, application en santé et en économétrie geissler
Détection de profils, application en santé et en économétrie geisslerDétection de profils, application en santé et en économétrie geissler
Détection de profils, application en santé et en économétrie geissler
 
Loi hamon sébastien bachellier
Loi hamon sébastien bachellierLoi hamon sébastien bachellier
Loi hamon sébastien bachellier
 
Eurocroissance arnaud cohen
Eurocroissance arnaud cohenEurocroissance arnaud cohen
Eurocroissance arnaud cohen
 
From data and information to knowledge : the web of tomorrow - Serge abitboul...
From data and information to knowledge : the web of tomorrow - Serge abitboul...From data and information to knowledge : the web of tomorrow - Serge abitboul...
From data and information to knowledge : the web of tomorrow - Serge abitboul...
 

Data privacy - Fabrice Naftalski

  • 1. Membre du réseau Ernst & Young Global Limited Cadre juridique de la Protection des données personnelles droit positif et futur règlement européen / éléments de droit comparé / Big Data et Cloud computing … Institut des Actuaires / le 24 avril 2014 Par Fabrice Naftalski, Avocat Associé
  • 2. Page 1 © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Contraintes Dataprivacy Sommaire 1. Champs d’application et définition, rappel du cadre actuel en Europe et en France 2. Le projet de règlement européen 3. Eléments de droit comparé 4. Illustrations : cloud et big data Démarche d’audit « Protection des données personnelles »
  • 3. Démarche informatique et libertésPage 2 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Propos introductifs ► La réglementation des données à caractère personnel concerne toutes les sociétés établies en Europe ► En France : Loi n°78-17 du 6 janvier 1978 modifiée le 7 août 2004 afin de transposer la Directive européenne 95/46/CE (Loi « Informatique et Libertés ») ► Cette réglementation est d’ordre public dans les 28 pays européens ► En France, son respect est effectivement contrôlée par la CNIL (Commission Nationale Informatique et Libertés) ► Sa violation est sanctionnée par des sanctions pénales et financières ► Cette réglementation va se renforcer avec le projet de règlement sur la protection des données en cours de discussion à Bruxelles
  • 4. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Champs d’application et définition, rappel du cadre légal actuel en Europe et en France © 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
  • 5. Démarche informatique et libertésPage 4 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Champ d’application de la loi ► Champ d’application géographique ► Entreprises établies en France ► Entreprises établies hors de l’Union européenne mais collectant des données personnelles au moyen d’équipements situés en France (ex : serveur d’hébergement) ► Champ d’application matériel ► Tous les traitements de données personnelles, manuels ou automatisés, se rattachant à une personne physique ► Ne sont pas concernés les fichiers mis en œuvre dans le cadre d’activités exclusivement personnelles (site Internet personnel, blog…)
  • 6. Démarche informatique et libertésPage 5 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quelques définitions… ► Donnée personnelle : Toute information concernant une personne physique identifiée ou identifiable ► Traitement : Toute opération appliquée à des données personnelles telle que la collecte, l’enregistrement, ou la communication ► Personne concernée : Personne physique à laquelle se rapportent les données qui font l’objet d’un traitement ► Responsable de traitement : La personne physique ou morale qui décide des finalités et des moyens du traitement de données personnelles ► Finalité : But/objet du traitement (par exemple : gestion de la formation, gestion de la communication externe…)
  • 7. Démarche informatique et libertésPage 6 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quelques définitions… ► Sous-traitant : Toute personne qui traite des données personnelles pour le compte du responsable de traitement ► Tiers : Toute personne autre que le responsable de traitement ou le sous-traitant ► Correspondant Informatique et Libertés (« CIL ») : La personne chargée d’assurer au sein de l’entreprise le respect des obligations prévues par la loi du 6 janvier 1978 dont la désignation a été notifiée à la CNIL ► Données sensibles : Données personnelles révélant les origines raciales ou ethniques, les opinions politiques, philosophiques, ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle de la personne concernée
  • 8. Démarche informatique et libertésPage 7 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Exigences actuelles basées sur directive 95/46 sur la protection des données personnelles Les grands principes de protection des données 1 2 Être obtenues pour une ou plusieurs finalitées déterminées et légitimes 3 Être adéquates, pertinentes et non excessives 4 Être exactes et tenues à jour 5 Ne pas être conservées plus longtemps que necessaire 6 Être traitées en conformité avec les droits de la personne identifiable 7 Être gardées en sécurité 8 Ne pas être transférées à des tiers en dehors de l’Espace économique européen (EEE), sauf conditions/garanties appropriées satisfaites Faire l’objet d’un traitement de données loyal et licite Bases légales // données sensibles Obligation d’Information Mesures de sécurité Formalités déclaratives Droits de la personne concernée Encadrement des transferts Les données personnelles traitées doivent:
  • 9. Démarche informatique et libertésPage 8 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Loi Informatique et Libertés : quelles obligations, quelles sanctions, quelles actions ? Vos obligations légales Vos risques Actions à mener Déclarer les traitements de données à caractère personnel (RH, fraude, clients, stock options …) après avoir vérifié la faisabilité du traitement (base légale, caractère proportionné des données collectées …) ► Risque d’image auprès des clients et employés ► Sanctions financières prises par la CNIL (jusqu’à 300 000 euros) è illustrations : ► 30 000 euros / Tyco Healthcare, ► 150 000 euros / Google ► 45 000 euros / LCL ► 20 000 euros /CA Centre France ► 30 000 euros / société Leclerc Arcydis (distribution) pour défaut de déclaration et d’information des clients sur le traitement des informations les concernant, et pour défaut de politique de rétention des données (effacement régulier des données) ► Sanctions pénales (jusqu’à 1,5 million d’euros d’amende et 5 ans d’emprisonnement) ► Dommages et intérêts ► Risques juridiques collatéraux (invalidation d’un licenciement..) ► Risque opérationnel : interruption/suspension/interdiction des traitements Recenser vos traitements et les déclarer (ou réaliser l’inventaire tenu par le CIL) après revue et/ou adaptation pour permettre leur faisabilité juridique, définition d’une stratégie déclarative appropriée pour de nouveaux traitements Informer les personnes concernées Rédiger les procédures d’information et d’accès Protéger les données personnelles (sécurité/confidentialité) Revoir ou rédiger les aspects sécurité des contrats de sous-traitance portant sur des données personnelles Effacer les données régulièrement (droit à l’oubli) / limiter leur durée de conservation Concevoir une politique de rétention prenant en compte les obligations de conservation limitée/ d’effacement des données Permettre aux personnes concernées d’exercer leur droit d’accès, d’opposition et de correction Encadrer les transferts de données en dehors de l’UE Sécuriser les transferts en dehors de l’Union Européenne Revoir ou mettre en place le dispositif interne d’organisation de la conformité Informatique et Libertés
  • 10. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le projet de règlement européen © 2009 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.
  • 11. Démarche informatique et libertésPage 10 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le projet de règlement européen publié le 25 janvier 2012 et amendé en Octobre 2013 (texte de compromis) ► De nouvelles définitions (« données biométriques », « groupe d’entreprises » …) et de nouveaux concepts (« accountability », « minimisation des données » …) ► Application plus large des règles de l’UE (y compris dans certains cas pour des entreprises qui n’ont ni établissement ni serveurs en Europe) ► Notification des failles de sécurité étendue à toutes les entreprises ► Désignation d’une seule autorité nationale de la protection des données en Europe pour chaque organisation mais avec des pouvoirs limités, les autorités nationales conservant la plupart de leurs prérogatives ► Simplification des formalités déclaratives ► Renforcement des procédures de gestion de la conformité (PIA, audits, documentation associée, désignation d’un CIL si plus de 5000 données de personnes physiques sont traitées sur 12 mois consécutifs ou en cas de traitement de certain type de données comme les données sensibles, les données de localisation ou portant sur les enfants…) ► Renforcement des sanctions financières ► Reconnaissance et promotion des BCRs, aménagement du régime des transferts hors UE ► Un cadre juridique s’imposant aux sous-traitants ► Renforcement des droits des personnes (droit à l’oubli et à la portabilité des données, consentement, granularité renforcée de l’information à communiquer …) ► Promotion du label européen de protection des données (impact sur les sanctions et transferts hors UE)
  • 12. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Droit comparé
  • 13. Démarche informatique et libertésPage 12 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. La protection d’un droit fondamental en Europe / La protection du consommateur aux US Un cadre homogène en Europe / Des lois fédérales sectorielles et des lois étatiques aux US
  • 14. © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Questions posées par le Cloud computing et Big data
  • 15. Démarche informatique et libertésPage 14 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. • Maîtriser les risques juridiques en matière de protection des données liés au recours à des solutions de Cloud Computing • Ménager la responsabilité des entreprises dans un contexte de traçabilité difficile des transferts de données. Risques et contraintes réglementaires ► Cloud Computing : hébergement des données sur différents serveurs, potentiellement chez différents sous-traitants et à différents moments • Incertitude sur le lieu d’hébergement des données • Or l’hébergement ou l’accès aux données depuis un pays situé en dehors de l’UE s’analyse comme un transfert de données personnelles à encadrer, sous peine de sanctions financières et pénales ► Obligations liées aux transferts de données à respecter : • Obligations déclaratives auprès de la CNIL • Obligations de sécurité • Obligations d’encadrer les transferts par des garanties appropriées ► Impacts du nouveau projet de règlement européen relatif à la protection des personnes physiques • Obligations d’ « accountability » • Obligations et responsabilité renforcées en matière de sécurité des données (+ notification des failles de sécurité) • Sanctions portées à 5% du CA mondial • Nouveaux outils de transferts 1 Points d’attention pour gérer ces risques 2 Bénéfices3 ► Evaluer ses risques en fonction de la nature des dispositifs de Cloud mis en œuvre ou en projet ► Définir une stratégie de conformité autour du Cloud: • Déterminer l’outil « déclaratif » et l’outil d’encadrement des transferts les plus appropriés • Porter une attention particulière à la rédaction du contrat « sous-traitant » • Anticiper sur la mise en œuvre à moyen terme du règlement européen • Communiquer sur les garanties renforcées entourant le Cloud pour la protection des données personnelles (environnement mieux disant?) ► Points aspects sécurité des données et cartographie des flux, référentiel sécurité à annexer aux contrats ► Réduire son degré d’exposition aux risques de non-conformité : • Risque d’image (Acadomia, Google ..) • Risque pénal (5 ans de prison/1,5 M d’euros) • Risque financier (jusqu’à 300 000 euros) ► Rassurer les parties prenantes sur la protection et la sécurité juridique des données qui sont gérées en mode Cloud en dehors de l’UE ► Encadrer le recours au Cloud computing pour limiter les risques tout en bénéficiant des avantages offerts par ces projets (flexibilité, coût …) Data Privacy et cloud computing
  • 16. Démarche informatique et libertésPage 15 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. DataÉmission Action utilisateur Comportement surf Localisation OPT-OUT Cookies Favoris Historique OPT-IN Comportements Auto-modération Big data : comment Contrôler ses propres traces « Notre liberté se bâtit sur ce qu’autrui ignore de nos existences. » Alexandre Soljenitsyne
  • 17. Démarche informatique et libertésPage 16 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. BIG DATA & DATA PRIVACY : des objectifs différents dont l’articulation peut être complexe ► BIG DATA vise à maximiser la valeur commerciale de la quantité d'informations disponibles dans une entreprise (par exemple, la vente de la suite de l'analyse de données à des tiers) ► BIG DATA vise à obtenir l'analyse des données résultant de la transformation de la quantité d'information disponible ► BIG DATA consiste à partir de données recueillies dans un contexte pour un but et réutilisés dans un autre contexte à des fins secondaires (souvent pas connues à l'étape de la collecte de données) ► Les Loi sur la protection des données visent à protéger tout traitement de données à caractère personnel effectué par une entité, y compris les flux d'information / communication à des tiers et le projet de règlement de l'UE va renforcer le niveau de contrainte pour la collecte de consentement ► La Loi sur la protection des données exige qu'aucune décision importante concernant une personne ne puisse être uniquement effectuée sur la base d'un traitement automatisé ► La Loi sur la protection des données permet le traitement de données uniquement à des fins légitimes et explicites spécifiques et accordent le droit aux individus d'être informés du traitement de leurs données personnelles (et à consentir dans certains cas) BIG DATA DATA PRIVACY
  • 18. Démarche informatique et libertésPage 17 © 2014 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Bonnes et mauvaises pratiques DON’T DO Réutiliser des données personnelles sans informer la personne concernée (ou obtenir le consentement préalable si nécessaire) Transfert de données personnelles vers des pays tiers sans protection suffisante Divulguer des informations personnelles sur un site Web sans en informer les personnes concernées Utiliser des données anonymisées afin d’atténuer les risques liés à la vie privée Informer les personnes concernées par l’utilisation de données personnelles et collecter leur consentement si besoin Déposer le traitement de données auprès de l’autorité locale de protection des données
  • 19. Page 18 © 2010 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Contraintes Dataprivacy Des questions? Fabrice Naftalski Avocat associé Correspondant Informatique et Libertés d’Ernst & Young France Expert legal EuroPrise Faculty Member of IAPP (International Association of Privacy Professionals) Tel : 33 1 55 61 10 05 fabrice.naftalski@ey-avocats.com