Présentation de Clémence Scottez, Responsable des affaires économiques à la CNIL lors du Digital Analytics Forum by AT Internet le 9 novembre 2017.
Le respect de la vie privée des internautes est incontestablement le sujet du moment ! Mais difficile d’y voir toujours très clair dans les nouvelles obligations du Règlement Général sur la Protection des Données (RGPD) et ses implications pour les solutions SaaS d’analytics.
2. Quels enjeux ?
• Individu pris dans un
maillage extrêmement
fin d’informations
personnelles relayées par
des objets de plus en
plus communicants
• implique une
pondération des intérêts
=> a priori par des
débats de société et a
postériori par le
législateur et les juges
220181109-DAF - AT Internet
3. Contexte
3
➢ L’univers numérique est construit sur les données personnelles,
c’est-à-dire sur les données relatives aux individus
➢ Mais => défiance croissante des individus
➢ En quelque temps, la promesse de libération de l’individu et
« d’empowerment » de celui-ci par le numérique a donc fait place à
un sentiment d’impuissance et de défiance
Enjeu : remettre l’individu au cœur d’un univers numérique dans
lequel il a tendance à être marginalisé
20181109-DAF - AT INTERNET
4. Article 1er de la loi « Informatique et Libertés »
➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de
l’homme et des libertés individuelles et publiques face à l’avènement de
l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation,
datamining, multiplication des décisions automatiques ou semi-
automatiques…)
420181109-DAF - AT Internet
7. Exemples de ré-identification
7
➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L :
« Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se
tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien »
➢ Massachusetts : croisement d'une base de données médicale
« pseudonymisée » et une liste électorale avec des données
nominatives.
➢ Etude réalisée par des chercheurs du MIT : une base de données
d’horodatage des antennes-relais (GSM) considérée a priori
comme anonyme permet d’identifier près de 90 % des personnes
20181109-DAF - AT INTERNET
8. Les 4 grands axes du RGPD
8
Affirmation de la maîtrise des personnes sur leurs
propres données
Responsabilisation des organismes (du privé
comme du public)
Renforcement des pouvoirs de sanction
Vers un marché commun unifié
20181109-DAF - AT INTERNET
9. Axe 1 : La maîtrise des personnes
sur leurs données personnelles
9 20181109-DAF - AT INTERNET
10. Renforcement global des droits (aperçu)
10
Le renforcement des droits existants
Les nouveaux droits
• obligation générale de faciliter l’exercice des droits (fourniture d’une information
claire, intelligible et aisément accessible)
• information renforcée (ex. transferts hors de l’UE, source des données, durée de
conservation)
• droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une
« CNIL »)
• droit à l’effacement et à l’oubli numérique confirmé
• la portabilité des données
• la limitation du traitement
• conditions particulières pour le traitement des données des enfants
20181109-DAF - AT INTERNET
11. Rappel : les consentements
20181109-DAF - AT INTERNET
Lesdonnéespersonnelles
• Licéité du
traitement
(art. 6 GDPR)
• Accord
parental pour
les mineurs
(art. 8 GDPR)
• Données
sensibles (art.
9 GDPR)
Lestraceurs
•Consentement
au dépôt ou à la
lecture
d’informations
sur le terminal
ou
consentement
« cookies » (art.
32.II de la LIL et
directive
ePrivacy)
Laprospectionparvoie
électronique
• Consentement
à la
prospection
par voie
électronique
(email, fax,
SMS) – (Article
L.34-5 du code
des postes et
des
communication
s électroniques
et directive
ePrivacy)
11
12. Axe 2 : Responsabilisation des professionnels
12
L e s o u s - t r a i t a n t
• obligations propres en matière de sécurité, de confidentialité et en matière d’accountability
• autorisation du RT pour recruter un ST
• tenue d’un registre
• obligation de conseil auprès du RT
• désignation d’un DPO
L e r e p r é s e n t a n t l é g a l
• point de contact de l’autorité
• tenue d’un registre
• mandat pour « être consulté en complément ou à la place du RT sur toutes les questions
relatives aux traitements » (DPA, personnes, etc.)
Re s p o n s a b i l i t é c o n j o i n t e
pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de
traitement conjoints »
20181109-DAF - AT INTERNET
13. L’accountability à l’heure du Règlement
13
➢ Aujourd’hui => formalités préalables pour tout traitement => charge
administrative et financière, peu efficace pour la protection des libertés ;
➢ Remplacées par des procédures et des mécanismes de responsabilisation
✓ l’application des principes de privacy by design et privacy by default
✓ la conduite d’analyses d’impact, ou « DPIA » ;
✓ la tenue d’un registre des traitements mis en œuvre ;
✓ la notification de failles de sécurité ;
✓ la consultation de la CNIL - DPIA
✓ la certification de traitements
✓ et l’adhésion à des codes de conduites.
20181109-DAF - AT INTERNET
14. Axe 3 : Des sanctions renforcées
14
« Les sanctions sont effectives, proportionnées et dissuasives »
Limiter
temporairement
ou
définitivement
un traitement
Suspension
des flux de
données hors
UE
Amendes
administratives
- 10 000 000€ / < 2
% du chiffre
d’affaires mondial
(CAM)
- 20 000 000€ / <
4% CAM
Mise en
demeure
de se
mettre en
conformité
20181109-DAF - AT INTERNET
15. Des voies de recours déclinées
15
Droit à un
recours
juridictionnel
contre un RT
- ST
Droit à un
recours
juridictionnel
contre une
DPA
Droit à un
recours
collectif
Une personne
peut mandater
un tiers pour
introduire une
réclamation en
son nom
Droit à
réparation
pour les
usagers
Réparation en
cas de
dommage
matériel ou
immatériel
20181109-DAF - AT INTERNET
16. Axe 4 : vers un marché commun unifié
Le mécanisme de coopération
renforcée pour les traitements
transnationaux, ou « one-stop-shop »
La DPA chef de file est celle dont le RT – ST a son
établissement principal établi sur le territoire national
La DPA chef de file rédige des projets de mesures et les
propose à toutes les DPA compétentes
Lorsqu’il n’y a pas d’objections sur les projets proposés,
alors les mesures sont réputées adoptées
S’il y a des objections et que les DPA ne parviennent pas
à se mettre d’accord, alors l’organe européen, l’EDPB,
est saisi
16 20181109-DAF - AT INTERNET
17. 17
Le règlement s’applique dès lors qu’un de ces deux critères est présent :
- le responsable de traitement ou le sous-traitant est établi sur le
territoire de l’Union européenne
OU
- le responsable de traitement ou le sous-traitant n’est pas établi sur
le territoire de l’UE, mais met en œuvre des traitement visant à
fournir des biens et des services aux résidents européens ou à
les surveiller (monitor)
Un champ d’application territorial étendu
20181109-DAF - AT INTERNET
18. 18
Merci de votre attention !
➢ Pour plus d’information : RV sur www.cnil.fr