Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Gestion des données personnelles : comprendre vos nouvelles obligations
1. Protection des données à caractère personnel
Maître Marion Depadt-Bels – Mardi 8 novembre 2016
2. LA PROTECTION DES DONNEES A
CARACTERE PERSONNEL
- ce qui va changer
- comment s’y préparer
Marion DEPADT BELS
3. SOMMAIRE
1 - LE CADRE LÉGAL
2 - CE QUI VA CHANGER
3 - FOCUS SUR :
REGISTRE ET DELEGUE A LA PROTECTION DES DONNEES
PRIVACY BY DESIGN AND BY DEFAULT – ETUDE D’IMPACT
VIOLATION DE DONNEES
LES RELATIONS ENTRE RT ET SOUS-TRAITANT
4 - LES ACTIONS A METTRE EN OEUVRE
3
5. De 1978 à 2018
Ø La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés
ž Texte fondateur, largement modifié en particulier en 2004
ž Texte qui instaure la Commission nationale de l’informatique et des libertés
(ci-après la « CNIL »)
Directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données
Transposition en France par la loi n° 2004-801 du 6 août 2004
Ø Règlement 2016/679 du parlement européen et du conseil du 27 avril 2016
relatif à la protection des personnes physiques à l’égard du traitement de
données à caractère personnel et à la libre circulation de ces données
Ce règlement sera directement applicable dans le droit français à compter du
25 mai 2018
5
7. Le principe de responsabilisation « accountability »
Un champ d’application géographique étendu
Une gestion des flux transfrontaliers simplifiée
L’émergence de nouveaux droits pour les individus
Des montants de sanctions démultipliés
De nouvelles obligations
L’extension de la responsabilité des sous-traitants
7
2 - Ce qui va changer en quelques mots
8. 1 – LE CADRE LÉGAL3 – FOCUS SUR LES NOUVELLES
OBLIGATIONS
8
9. 9
Entreprise de moins
de 250 salariés
Traitements susceptibles de comporter un risque
pour les personnes ou qui portent sur des
données sensibles
Entreprise de plus
de 250 salariés
non oui
- Tenue du registre
obligatoire
- Désignation d’un
délégué à la protection
des données (cf ci-
contre*)
ž Tenue d’un registre obligatoire
ž Désignation d’un délégué à la protection des
données obligatoire* si les activités de base
correspondent à :
- des traitements qui exigent un suivi régulier et
systématique à grande échelle des personnes ;
OU
- des traitements à grande échelle de catégories
particulières de données sensibles.
OU si le droit d’un Etat membre l’exige.
Registre et Délégué
- Pas de tenue de
registre obligatoire
- Pas de désignation
d’un délégué à la
protection des
données
10. Ø Le Règlement institue un principe de protection des données dès la
conception et de protection des données par défaut (« Privacy by
design and by default »)
Ø Le Règlement donne un rôle central aux analyses d’impact.
Ø Le responsable de traitement doit effectuer, avant le traitement, une
analyse de l’impact des traitements envisagés sur la protection des
données à caractère personnel lorsqu’un type de traitement, en
particulier par le recours à de nouvelles technologies, et compte
tenu de la nature, de la portée, du contexte et des finalités du
traitement, est susceptible d'engendrer un risque élevé pour les droits
et libertés des personnes physiques.
Le privacy by design and by default
Les études d’impact 10
11. Ø Le Règlement met à la charge du responsable de traitement une obligation de
notification des violations de données : « Le responsable de traitement notifie la
violation en question à l’autorité de contrôle compétente […] dans les meilleurs
délais si possible 72 heures au plus tard après en avoir pris connaissance ».
Ø Exception : notification non obligatoire si elle n’est pas susceptible d’engager un
risque pour les droits et libertés des personnes.
Ø Le responsable de traitement doit indiquer :
ü La nature de la violation des données à caractère personnel
ü Les conséquences probables de la violation
ü Les mesures prises pour y remédier
Ø Le Règlement met à la charge du sous-traitant une obligation de notification des
violations de données au responsable de traitement: « Le sous-traitant notifie au
responsable du traitement toute violation de données à caractère personnel dans
les meilleurs délais après en avoir pris connaissance ».
Ø Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer
un risque élevé pour les droits et libertés d'une personne physique, le responsable du
traitement communique la violation de données à caractère personnel à la
personne concernée dans les meilleurs délais.
11
L’obligation de notification
12. u Le responsable de traitement doit s’assurer que le sous-traitant auquel il
confie des traitements concernant, au moins partiellement, des données à
caractère personnel, présente des garanties suffisantes quant à la mise en
œuvre de mesures techniques et organisationnelles appropriées.
u Le sous-traitant ne peut pas recruter un autre sous-traitant sans
l’autorisation préalable, spécifique ou générale, du responsable de
traitement.
u Un contrat doit être conclu entre le responsable de traitement et le sous-
traitant définissant :
- l’objet et la durée du traitement,
- la nature et la finalité du traitement,
- le type de données à caractère personnel et les catégories de personnes concernées,
- les obligations et les droits du responsable de traitement.
12
Le contrat conclu avec le sous-traitant #1
13. u Le contrat entre le responsable de traitement et son sous-traitant doit préciser que le
prestataire :
u ne traite les données à caractère personnel que sur instruction documentée du RT ;
u s’assure que son personnel intervenant sur les données est tenu par une obligation de
confidentialité ;
u met en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté
au risque, telles que la pseudonymisation et le chiffrement des données (par renvoi à
l’article 32 sur la sécurité des traitements) ;
u obtient l’autorisation écrite du responsable de traitement pour sous-traiter tout ou
partie des prestations ;
u signe avec son ou ses propres sous-traitants un document comprenant toutes les
clauses figurant dans la présente liste ;
u aide le responsable du traitement à s’acquitter de ses obligations vis-à-vis des
personnes concernées ainsi qu’à garantir le respect de ses obligations de sécurité et de
notification des violations ;
u au terme de la prestation : supprime les données à caractère personnel ou les renvoie
au responsable de traitement, au choix de ce dernier, et détruit les copies existantes ;
u met à la disposition du responsable de traitement toutes les informations nécessaires
pour démontrer le respect des obligations et permettre la réalisation d’audits.
13
Le contrat conclu avec le sous-traitant #2
15. žIdentifier les traitements de données existants
- Cartographie des flux/données/mesures mises en place
- Plan de mise en conformité, en fonction du niveau de risques identifié pour
chaque traitement
žVous assurer que les mécanismes mis en place permettent de tracer et
conserver la preuve de votre conformité à la réglementation et en
particulier :
- L’information donnée aux personnes concernées
- Si nécessaire le consentement de ces personnes
žDocumenter tout projet/ impliquant le traitement de données à
caractère personnel
− Condition sine qua non pour pouvoir apporter la preuve de la conformité
à la réglementation Informatique et Liberté
15
Ce que vous pouvez (devez) faire
16. žPrendre en compte et implémenter les principes de privacy by design
and by default
- Ces principes doivent être pris en compte dans les projets d’aujourd’hui qui
seront les produits/solutions/services de demain
- La conformité à ces principes doit faire partie des exigences figurant dans
les appels d’offres
- Ces principes doivent régir la conception des nouvelles offres et leur mise en
œuvre documentée (protection – minimisation)
- En particulier prendre en compte les droits des individus (effacement,
portabilité, etc.)
- Analyser l’opportunité ou la nécessité de mettre en place une démarche de
mesure d’impact
žCommuniquer et former les équipes techniques et opérationnelles
- Sur les principes de privacy by design and by default
- Sur la nécessité de documenter toutes leurs démarches
16
Ce que vous pouvez (devez) faire
17. žCompléter vos contrats de service
- Pour les contrats ayant vocation à perdurer au-delà de mai 2018
- A défaut les risques sont nombreux :
- Risques pour l’entreprise cliente d’être en infraction avec le Règlement
- Risques pour le prestataire de devoir se conformer à de nouvelles obligations
potentiellement très onéreuses
- Le PAS va devenir incontournable
žComplétez vos mentions Informatique et Libertés
- Loi pour une République numérique
- Eventuellement : anticiper les nouvelles exigences
17
Ce que vous pouvez (devez) faire
18. žIdentifier rapidement si vous allez devoir désigner un délégué à la
protection des données à caractère personnel
- Analyse du périmètre
- Gestion du budget correspondant
žOrganiser la gestion des violations de données
- Mise en place de procédures
- Formation du personnel
ET ENCORE DE NOMBREUSES AUTRES …
18
Ce que vous pouvez (devez) faire