SlideShare ist ein Scribd-Unternehmen logo

Gestion des données personnelles : comprendre vos nouvelles obligations

Claranet
Claranet

Présentation effectuée par M. Depadt-Bels lors de notre Happy Hour du 8 novembre 2016 sur la gestion des données personnelles.

Daten & Analysen
1 von 19
Protection des données à caractère personnel Maître Marion Depadt-Bels – Mardi 8 novembre 2016
LA PROTECTION DES DONNEES A CARACTERE PERSONNEL - ce qui va changer - comment s’y préparer Marion DEPADT BELS
SOMMAIRE 1 - LE CADRE LÉGAL 2 - CE QUI VA CHANGER 3 - FOCUS SUR : REGISTRE ET DELEGUE A LA PROTECTION DES DONNEES PRIVACY BY DESIGN AND BY DEFAULT – ETUDE D’IMPACT VIOLATION DE DONNEES LES RELATIONS ENTRE RT ET SOUS-TRAITANT 4 - LES ACTIONS A METTRE EN OEUVRE 3
1 – LE CADRE LÉGAL1 - LE CADRE LÉGAL 4
De 1978 à 2018 Ø La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ž Texte fondateur, largement modifié en particulier en 2004 ž Texte qui instaure la Commission nationale de l’informatique et des libertés (ci-après la « CNIL ») Directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Transposition en France par la loi n° 2004-801 du 6 août 2004 Ø Règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données Ce règlement sera directement applicable dans le droit français à compter du 25 mai 2018 5
1 – LE CADRE LÉGAL2 – CE QUI VA CHANGER 6
Le principe de responsabilisation « accountability » Un champ d’application géographique étendu Une gestion des flux transfrontaliers simplifiée L’émergence de nouveaux droits pour les individus Des montants de sanctions démultipliés De nouvelles obligations L’extension de la responsabilité des sous-traitants 7 2 - Ce qui va changer en quelques mots
1 – LE CADRE LÉGAL3 – FOCUS SUR LES NOUVELLES OBLIGATIONS 8
9 Entreprise de moins de 250 salariés Traitements susceptibles de comporter un risque pour les personnes ou qui portent sur des données sensibles Entreprise de plus de 250 salariés non oui - Tenue du registre obligatoire - Désignation d’un délégué à la protection des données (cf ci- contre*) ž Tenue d’un registre obligatoire ž Désignation d’un délégué à la protection des données obligatoire* si les activités de base correspondent à : - des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes ; OU - des traitements à grande échelle de catégories particulières de données sensibles. OU si le droit d’un Etat membre l’exige. Registre et Délégué - Pas de tenue de registre obligatoire - Pas de désignation d’un délégué à la protection des données
Ø Le Règlement institue un principe de protection des données dès la conception et de protection des données par défaut (« Privacy by design and by default ») Ø Le Règlement donne un rôle central aux analyses d’impact. Ø Le responsable de traitement doit effectuer, avant le traitement, une analyse de l’impact des traitements envisagés sur la protection des données à caractère personnel lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le privacy by design and by default Les études d’impact 10
Ø Le Règlement met à la charge du responsable de traitement une obligation de notification des violations de données : « Le responsable de traitement notifie la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais si possible 72 heures au plus tard après en avoir pris connaissance ». Ø Exception : notification non obligatoire si elle n’est pas susceptible d’engager un risque pour les droits et libertés des personnes. Ø Le responsable de traitement doit indiquer : ü La nature de la violation des données à caractère personnel ü Les conséquences probables de la violation ü Les mesures prises pour y remédier Ø Le Règlement met à la charge du sous-traitant une obligation de notification des violations de données au responsable de traitement: « Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ». Ø Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. 11 L’obligation de notification
u Le responsable de traitement doit s’assurer que le sous-traitant auquel il confie des traitements concernant, au moins partiellement, des données à caractère personnel, présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. u Le sous-traitant ne peut pas recruter un autre sous-traitant sans l’autorisation préalable, spécifique ou générale, du responsable de traitement. u Un contrat doit être conclu entre le responsable de traitement et le sous- traitant définissant : - l’objet et la durée du traitement, - la nature et la finalité du traitement, - le type de données à caractère personnel et les catégories de personnes concernées, - les obligations et les droits du responsable de traitement. 12 Le contrat conclu avec le sous-traitant #1
u Le contrat entre le responsable de traitement et son sous-traitant doit préciser que le prestataire : u ne traite les données à caractère personnel que sur instruction documentée du RT ; u s’assure que son personnel intervenant sur les données est tenu par une obligation de confidentialité ; u met en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, telles que la pseudonymisation et le chiffrement des données (par renvoi à l’article 32 sur la sécurité des traitements) ; u obtient l’autorisation écrite du responsable de traitement pour sous-traiter tout ou partie des prestations ; u signe avec son ou ses propres sous-traitants un document comprenant toutes les clauses figurant dans la présente liste ; u aide le responsable du traitement à s’acquitter de ses obligations vis-à-vis des personnes concernées ainsi qu’à garantir le respect de ses obligations de sécurité et de notification des violations ; u au terme de la prestation : supprime les données à caractère personnel ou les renvoie au responsable de traitement, au choix de ce dernier, et détruit les copies existantes ; u met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d’audits. 13 Le contrat conclu avec le sous-traitant #2
4 - COMMENT SE PREPARER ? 14
žIdentifier les traitements de données existants - Cartographie des flux/données/mesures mises en place - Plan de mise en conformité, en fonction du niveau de risques identifié pour chaque traitement žVous assurer que les mécanismes mis en place permettent de tracer et conserver la preuve de votre conformité à la réglementation et en particulier : - L’information donnée aux personnes concernées - Si nécessaire le consentement de ces personnes žDocumenter tout projet/ impliquant le traitement de données à caractère personnel − Condition sine qua non pour pouvoir apporter la preuve de la conformité à la réglementation Informatique et Liberté 15 Ce que vous pouvez (devez) faire
žPrendre en compte et implémenter les principes de privacy by design and by default - Ces principes doivent être pris en compte dans les projets d’aujourd’hui qui seront les produits/solutions/services de demain - La conformité à ces principes doit faire partie des exigences figurant dans les appels d’offres - Ces principes doivent régir la conception des nouvelles offres et leur mise en œuvre documentée (protection – minimisation) - En particulier prendre en compte les droits des individus (effacement, portabilité, etc.) - Analyser l’opportunité ou la nécessité de mettre en place une démarche de mesure d’impact žCommuniquer et former les équipes techniques et opérationnelles - Sur les principes de privacy by design and by default - Sur la nécessité de documenter toutes leurs démarches 16 Ce que vous pouvez (devez) faire
žCompléter vos contrats de service - Pour les contrats ayant vocation à perdurer au-delà de mai 2018 - A défaut les risques sont nombreux : - Risques pour l’entreprise cliente d’être en infraction avec le Règlement - Risques pour le prestataire de devoir se conformer à de nouvelles obligations potentiellement très onéreuses - Le PAS va devenir incontournable žComplétez vos mentions Informatique et Libertés - Loi pour une République numérique - Eventuellement : anticiper les nouvelles exigences 17 Ce que vous pouvez (devez) faire
žIdentifier rapidement si vous allez devoir désigner un délégué à la protection des données à caractère personnel - Analyse du périmètre - Gestion du budget correspondant žOrganiser la gestion des violations de données - Mise en place de procédures - Formation du personnel ET ENCORE DE NOMBREUSES AUTRES … 18 Ce que vous pouvez (devez) faire
MERCI POUR VOTRE ATTENTION 19

Empfohlen

Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
Data privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiData privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiKezhan SHI
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 

Empfohlen

Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
Data privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiData privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiKezhan SHI
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDForums financiers de Wallonie
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018aucompte xavier
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Zyxel France
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentationGaetan Karre
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
Lexing - Belgium
 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratiqueProf. Jacques Folon (Ph.D)
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 

Weitere ähnliche Inhalte

Was ist angesagt?

Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?Eloquant
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018aucompte xavier
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Zyxel France
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
Lexing - Belgium
 

Was ist angesagt? (20)

Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
RGPD ET VOUS... Prêt pour le grand défi de la protection des données ?
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
Le GD¨R en pratique
Le GD¨R en pratiqueLe GD¨R en pratique
Le GD¨R en pratique
 

Ähnlich wie Gestion des données personnelles : comprendre vos nouvelles obligations

Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
protection des données
protection des donnéesprotection des données
protection des donnéesSabriElBeya
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesCap'Com
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 

Ähnlich wie Gestion des données personnelles : comprendre vos nouvelles obligations (20)

Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Horeca GDPR
Horeca GDPRHoreca GDPR
Horeca GDPR
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
protection des données
protection des donnéesprotection des données
protection des données
 
GDPR et PME
GDPR et PMEGDPR et PME
GDPR et PME
 
RGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexesRGPD en pratique : notions clefs et bons réflexes
RGPD en pratique : notions clefs et bons réflexes
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 

Kürzlich hochgeladen

To_understand_transformers_together presentation
To_understand_transformers_together presentationTo_understand_transformers_together presentation
To_understand_transformers_together presentationbahija babzine
 
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel AttalELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attalcontact Elabe
 
analyse husseindey AMIROUCHE Abdeslem.pptx
analyse husseindey AMIROUCHE Abdeslem.pptxanalyse husseindey AMIROUCHE Abdeslem.pptx
analyse husseindey AMIROUCHE Abdeslem.pptxHadJer61
 
Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023France Travail
 
Bidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from TransformersBidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from Transformersbahija babzine
 
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...France Travail
 

Kürzlich hochgeladen (6)

To_understand_transformers_together presentation
To_understand_transformers_together presentationTo_understand_transformers_together presentation
To_understand_transformers_together presentation
 
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel AttalELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
 
analyse husseindey AMIROUCHE Abdeslem.pptx
analyse husseindey AMIROUCHE Abdeslem.pptxanalyse husseindey AMIROUCHE Abdeslem.pptx
analyse husseindey AMIROUCHE Abdeslem.pptx
 
Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023
 
Bidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from TransformersBidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from Transformers
 
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
 

Gestion des données personnelles : comprendre vos nouvelles obligations

  • 1. Protection des données à caractère personnel Maître Marion Depadt-Bels – Mardi 8 novembre 2016
  • 2. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL - ce qui va changer - comment s’y préparer Marion DEPADT BELS
  • 3. SOMMAIRE 1 - LE CADRE LÉGAL 2 - CE QUI VA CHANGER 3 - FOCUS SUR : REGISTRE ET DELEGUE A LA PROTECTION DES DONNEES PRIVACY BY DESIGN AND BY DEFAULT – ETUDE D’IMPACT VIOLATION DE DONNEES LES RELATIONS ENTRE RT ET SOUS-TRAITANT 4 - LES ACTIONS A METTRE EN OEUVRE 3
  • 4. 1 – LE CADRE LÉGAL1 - LE CADRE LÉGAL 4
  • 5. De 1978 à 2018 Ø La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ž Texte fondateur, largement modifié en particulier en 2004 ž Texte qui instaure la Commission nationale de l’informatique et des libertés (ci-après la « CNIL ») Directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Transposition en France par la loi n° 2004-801 du 6 août 2004 Ø Règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données Ce règlement sera directement applicable dans le droit français à compter du 25 mai 2018 5
  • 6. 1 – LE CADRE LÉGAL2 – CE QUI VA CHANGER 6
  • 7. Le principe de responsabilisation « accountability » Un champ d’application géographique étendu Une gestion des flux transfrontaliers simplifiée L’émergence de nouveaux droits pour les individus Des montants de sanctions démultipliés De nouvelles obligations L’extension de la responsabilité des sous-traitants 7 2 - Ce qui va changer en quelques mots
  • 8. 1 – LE CADRE LÉGAL3 – FOCUS SUR LES NOUVELLES OBLIGATIONS 8
  • 9. 9 Entreprise de moins de 250 salariés Traitements susceptibles de comporter un risque pour les personnes ou qui portent sur des données sensibles Entreprise de plus de 250 salariés non oui - Tenue du registre obligatoire - Désignation d’un délégué à la protection des données (cf ci- contre*) ž Tenue d’un registre obligatoire ž Désignation d’un délégué à la protection des données obligatoire* si les activités de base correspondent à : - des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes ; OU - des traitements à grande échelle de catégories particulières de données sensibles. OU si le droit d’un Etat membre l’exige. Registre et Délégué - Pas de tenue de registre obligatoire - Pas de désignation d’un délégué à la protection des données
  • 10. Ø Le Règlement institue un principe de protection des données dès la conception et de protection des données par défaut (« Privacy by design and by default ») Ø Le Règlement donne un rôle central aux analyses d’impact. Ø Le responsable de traitement doit effectuer, avant le traitement, une analyse de l’impact des traitements envisagés sur la protection des données à caractère personnel lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le privacy by design and by default Les études d’impact 10
  • 11. Ø Le Règlement met à la charge du responsable de traitement une obligation de notification des violations de données : « Le responsable de traitement notifie la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais si possible 72 heures au plus tard après en avoir pris connaissance ». Ø Exception : notification non obligatoire si elle n’est pas susceptible d’engager un risque pour les droits et libertés des personnes. Ø Le responsable de traitement doit indiquer : ü La nature de la violation des données à caractère personnel ü Les conséquences probables de la violation ü Les mesures prises pour y remédier Ø Le Règlement met à la charge du sous-traitant une obligation de notification des violations de données au responsable de traitement: « Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance ». Ø Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. 11 L’obligation de notification
  • 12. u Le responsable de traitement doit s’assurer que le sous-traitant auquel il confie des traitements concernant, au moins partiellement, des données à caractère personnel, présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. u Le sous-traitant ne peut pas recruter un autre sous-traitant sans l’autorisation préalable, spécifique ou générale, du responsable de traitement. u Un contrat doit être conclu entre le responsable de traitement et le sous- traitant définissant : - l’objet et la durée du traitement, - la nature et la finalité du traitement, - le type de données à caractère personnel et les catégories de personnes concernées, - les obligations et les droits du responsable de traitement. 12 Le contrat conclu avec le sous-traitant #1
  • 13. u Le contrat entre le responsable de traitement et son sous-traitant doit préciser que le prestataire : u ne traite les données à caractère personnel que sur instruction documentée du RT ; u s’assure que son personnel intervenant sur les données est tenu par une obligation de confidentialité ; u met en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, telles que la pseudonymisation et le chiffrement des données (par renvoi à l’article 32 sur la sécurité des traitements) ; u obtient l’autorisation écrite du responsable de traitement pour sous-traiter tout ou partie des prestations ; u signe avec son ou ses propres sous-traitants un document comprenant toutes les clauses figurant dans la présente liste ; u aide le responsable du traitement à s’acquitter de ses obligations vis-à-vis des personnes concernées ainsi qu’à garantir le respect de ses obligations de sécurité et de notification des violations ; u au terme de la prestation : supprime les données à caractère personnel ou les renvoie au responsable de traitement, au choix de ce dernier, et détruit les copies existantes ; u met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d’audits. 13 Le contrat conclu avec le sous-traitant #2
  • 14. 4 - COMMENT SE PREPARER ? 14
  • 15. žIdentifier les traitements de données existants - Cartographie des flux/données/mesures mises en place - Plan de mise en conformité, en fonction du niveau de risques identifié pour chaque traitement žVous assurer que les mécanismes mis en place permettent de tracer et conserver la preuve de votre conformité à la réglementation et en particulier : - L’information donnée aux personnes concernées - Si nécessaire le consentement de ces personnes žDocumenter tout projet/ impliquant le traitement de données à caractère personnel − Condition sine qua non pour pouvoir apporter la preuve de la conformité à la réglementation Informatique et Liberté 15 Ce que vous pouvez (devez) faire
  • 16. žPrendre en compte et implémenter les principes de privacy by design and by default - Ces principes doivent être pris en compte dans les projets d’aujourd’hui qui seront les produits/solutions/services de demain - La conformité à ces principes doit faire partie des exigences figurant dans les appels d’offres - Ces principes doivent régir la conception des nouvelles offres et leur mise en œuvre documentée (protection – minimisation) - En particulier prendre en compte les droits des individus (effacement, portabilité, etc.) - Analyser l’opportunité ou la nécessité de mettre en place une démarche de mesure d’impact žCommuniquer et former les équipes techniques et opérationnelles - Sur les principes de privacy by design and by default - Sur la nécessité de documenter toutes leurs démarches 16 Ce que vous pouvez (devez) faire
  • 17. žCompléter vos contrats de service - Pour les contrats ayant vocation à perdurer au-delà de mai 2018 - A défaut les risques sont nombreux : - Risques pour l’entreprise cliente d’être en infraction avec le Règlement - Risques pour le prestataire de devoir se conformer à de nouvelles obligations potentiellement très onéreuses - Le PAS va devenir incontournable žComplétez vos mentions Informatique et Libertés - Loi pour une République numérique - Eventuellement : anticiper les nouvelles exigences 17 Ce que vous pouvez (devez) faire
  • 18. žIdentifier rapidement si vous allez devoir désigner un délégué à la protection des données à caractère personnel - Analyse du périmètre - Gestion du budget correspondant žOrganiser la gestion des violations de données - Mise en place de procédures - Formation du personnel ET ENCORE DE NOMBREUSES AUTRES … 18 Ce que vous pouvez (devez) faire
  • 19. MERCI POUR VOTRE ATTENTION 19