Etat des lieux 6 mois après l’entrée en vigueur du RGPD avec l'intervention d'Armand Heslot, Privacy & Security Expert à la CNIL.

1. Protection des données personnelles :
Du RGPD à ePrivacy
Digital Analytics Forum 2018 / AT Internet
Armand Heslot

2. Licéité, loyauté,
transparence
Limitation
des finalités
Minimisation
des données
Exactitude
Limitation de la
conservation
Sécurité
Respect des droits des
personnes:
• Information
• Consentement
• Rectification,
opposition
• Accès, rectification
• Portabilité
+
Rappel des grands principes du RGPD
→ Les mêmes que la directive de 1995 !

3. Les relations entre responsables de
traitements et sous-traitants
Renforcement de l’encadrement
des relations RT-ST
◆ Le contrat de sous-traitance doit préciser :
la nature, la durée, la finalité, le type de
données et les catégories de personnes.
◆ Obligation de réversibilité (ou
suppression).
◆ Encadrement de la sous-traitance de rang
2.
◆ Possibilité pour le ST d’obtenir une
certification au titre du RGPD.
Accroissement de la responsabilité
des ST
◆ Obligation de tenir un registre pour le ST.
◆ Possibilité pour les autorités de sanctionner
un ST.
◆ Obligation d’information du RT en cas de
violation de données.
◆ Obligation d’information si une instruction
du RT constitue une violation du RGPD.
◆ Obligations de prouver au RT que les
conditions de mise en œuvre du traitement
sont conformes au RGPD.

4. Quel bilan après 6 mois ?
13 000 DPO désignés (vs 5000 CIL)
Plus de 900 violations notifiées à la CNIL
+45% d’appels téléphoniques en 2018, +83% de consultation
des FAQ en ligne
+64% des plaintes de particuliers

5. L’enforcement du RGPD
Y a-t-il une période transitoire ?
Y a-t-il une période de grâce ?
Comment seront gérées les sanctions ?

6. ePrivacy : deux règlements pour le prix d’un
ePrivacy : une directive de 2002, modifiée une première fois en 2009, et
modifiée en règlement en 2017/2018.
« Lex Specialis » qui vient préciser le RGPD et renforcer la protection de la
vie privée dans le secteur des télécommunications.
Pourquoi ?
→ Parce que par nature les données de communications électroniques
sont des données particulières, susceptibles de contenir des données
sensibles.
Attention : alignement des sanctions avec le GDPR !

7. ePrivacy ou la « directive cookies »
Depuis 2009 l’utilisation de cookies (ou de
technologies analogues) non strictement
nécessaires est soumis à consentement.
Ce consentement est nécessaire que le
cookie contienne des données
personnelles ou non.
En France les règles à respecter ont été
précisées par la CNIL à la suite d’une
concertation avec les parties concernées
(éditeurs, annonceurs, professionnels du
marketing).
2002
2009
2017
Il faut informer
les internautes
et leur
permettre de
s’opposer
Il faut obtenir le
consentement
des internautes
On a dit
consentement !!

8. Quelques idées fausses sur ePrivacy
→ Si, toutes les technologies de tracking sont concernées
→ C’est impossible + il faut quand même un consentement de l’internaute
→ Non, ce n’est pas un consentement
« Je ne suis pas concerné car j’utilise du fingerprinting »
« Nos cookies publicitaires sont anonymes »
« Le consentement est obtenu via les CGU à la création du compte »
« L’utilisateur accepte la géolocalisation sur son mobile, donc il consent »