[daf 2017] rgpd 2018 : Êtes-vous prêt ? par clémence scottez (cnil)
TRANSCRIPT
Digital Analytics Forum
RGPD 2018 : êtes-vous prêt ?
1
Clémence SCOTTEZ
Chef du service des Affaires Economiques
Quels enjeux ?
• Individu pris dans un
maillage extrêmement
fin d’informations
personnelles relayées par
des objets de plus en
plus communicants
• implique une
pondération des intérêts
=> a priori par des
débats de société et a
postériori par le
législateur et les juges
220181109-DAF - AT Internet
Contexte
3
➢ L’univers numérique est construit sur les données personnelles,
c’est-à-dire sur les données relatives aux individus
➢ Mais => défiance croissante des individus
➢ En quelque temps, la promesse de libération de l’individu et
« d’empowerment » de celui-ci par le numérique a donc fait place à
un sentiment d’impuissance et de défiance
Enjeu : remettre l’individu au cœur d’un univers numérique dans
lequel il a tendance à être marginalisé
20181109-DAF - AT INTERNET
Article 1er de la loi « Informatique et Libertés »
➢ Objectif : défense de la vie privée, de l’identité humaine, des droits de l’homme et des libertés individuelles et publiques face à l’avènement de
l’intelligence ambiante (capteurs de plus en plus mobiles, géolocalisation, datamining, multiplication des décisions automatiques ou semi-
automatiques…)
420181109-DAF - AT Internet
Exemples de ré-identification
7
➢ Letigre.net (2008) : rubrique galerie de portrait dédiée à Marc L :
« Bon anniversaire Marc, le 5 décembre 2008 tu fêteras tes 28 ans. Tu permets qu’on se
tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi je te connais très bien »
➢ Massachusetts : croisement d'une base de données médicale
« pseudonymisée » et une liste électorale avec des données
nominatives.
➢ Etude réalisée par des chercheurs du MIT : une base de données
d’horodatage des antennes-relais (GSM) considérée a priori
comme anonyme permet d’identifier près de 90 % des personnes
20181109-DAF - AT INTERNET
Les 4 grands axes du RGPD
8
Affirmation de la maîtrise des personnes sur leurs
propres données
Responsabilisation des organismes (du privé
comme du public)
Renforcement des pouvoirs de sanction
Vers un marché commun unifié
20181109-DAF - AT INTERNET
Renforcement global des droits (aperçu)
10
Le renforcement des droits existants
Les nouveaux droits
• obligation générale de faciliter l’exercice des droits (fourniture d’une information
claire, intelligible et aisément accessible)
• information renforcée (ex. transferts hors de l’UE, source des données, durée de
conservation)
• droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une
« CNIL »)
• droit à l’effacement et à l’oubli numérique confirmé
• la portabilité des données
• la limitation du traitement
• conditions particulières pour le traitement des données des enfants
20181109-DAF - AT INTERNET
Rappel : les consentements
20181109-DAF - AT INTERNET
Les
do
nn
ées
pers
on
nell
es
• Licéité du
traitement
(art. 6 GDPR)
• Accord
parental pour
les mineurs
(art. 8 GDPR)
• Données
sensibles (art.
9 GDPR)
Les
traceu
rs
•Consentement
au dépôt ou à la
lecture
d’informations
sur le terminal
ou
consentement
« cookies » (art.
32.II de la LIL et
directive
ePrivacy)
La p
rosp
ecti
on
par
vo
ie
éle
ctr
on
iqu
e• Consentement
à la
prospection
par voie
électronique
(email, fax,
SMS) – (Article
L.34-5 du code
des postes et
des
communication
s électroniques
et directive
ePrivacy)
11
Axe 2 : Responsabilisation des professionnels
12
L e s o u s - t r a i t a n t
• obligations propres en matière de sécurité, de confidentialité et en matière d’accountability
• autorisation du RT pour recruter un ST
• tenue d’un registre
• obligation de conseil auprès du RT
• désignation d’un DPO
L e r e p r é s e n t a n t l é g a l
• point de contact de l’autorité
• tenue d’un registre
• mandat pour « être consulté en complément ou à la place du RT sur toutes les questions
relatives aux traitements » (DPA, personnes, etc.)
Re s p o n s a b i l i t é c o n j o i n t e
pour les sociétés qui « définissent de manière transparente leurs obligations respectives les de
traitement conjoints »
20181109-DAF - AT INTERNET
L’accountability à l’heure du Règlement
13
➢ Aujourd’hui => formalités préalables pour tout traitement => charge administrative et financière, peu efficace pour la protection des libertés ;
➢ Remplacées par des procédures et des mécanismes de responsabilisation
✓ l’application des principes de privacy by design et privacy by default
✓ la conduite d’analyses d’impact, ou « DPIA » ;
✓ la tenue d’un registre des traitements mis en œuvre ;
✓ la notification de failles de sécurité ;
✓ la consultation de la CNIL - DPIA
✓ la certification de traitements
✓ et l’adhésion à des codes de conduites.
20181109-DAF - AT INTERNET
Axe 3 : Des sanctions renforcées
14
« Les sanctions sont effectives, proportionnées et dissuasives »
Limiter
temporairement
ou
définitivement
un traitement
Suspension
des flux de
données hors
UE
Amendes
administratives
- 10 000 000€ / < 2
% du chiffre
d’affaires mondial
(CAM)
- 20 000 000€ / <
4% CAM
Mise en
demeure
de se
mettre en
conformité
20181109-DAF - AT INTERNET
Des voies de recours déclinées
15
Droit à un
recours
juridictionnel
contre un RT
- ST
Droit à un
recours
juridictionnel
contre une
DPA
Droit à un
recours
collectif
Une personne
peut mandater
un tiers pour
introduire une
réclamation en
son nom
Droit à
réparation
pour les
usagers
Réparation en
cas de
dommage
matériel ou
immatériel
20181109-DAF - AT INTERNET
Axe 4 : vers un marché commun unifié
Le mécanisme de coopération
renforcée pour les traitements
transnationaux, ou « one-stop-shop »
La DPA chef de file est celle dont le RT – ST a son
établissement principal établi sur le territoire national
La DPA chef de file rédige des projets de mesures et les
propose à toutes les DPA compétentes
Lorsqu’il n’y a pas d’objections sur les projets proposés,
alors les mesures sont réputées adoptées
S’il y a des objections et que les DPA ne parviennent pas
à se mettre d’accord, alors l’organe européen, l’EDPB,
est saisi
16 20181109-DAF - AT INTERNET
17
Le règlement s’applique dès lors qu’un de ces deux critères est présent :
- le responsable de traitement ou le sous-traitant est établi sur le
territoire de l’Union européenne
OU
- le responsable de traitement ou le sous-traitant n’est pas établi sur
le territoire de l’UE, mais met en œuvre des traitement visant à
fournir des biens et des services aux résidents européens ou à
les surveiller (monitor)
Un champ d’application territorial étendu
20181109-DAF - AT INTERNET