Cendrine Claviez & Lorraine PetitAvocats au Barreau de MarseilleCabinet en Droit des Affaires et en Droit des Nouvelles Technologies, de l’Informatique et de la Communication, Droit de la Propriété Intellectuelle 1
Le Règlement européen sur la protection des données personnelles :
comment s’y préparer ?
12 septembre 2017
Les textes
• Loi Informatique et Libertés de 1978
• Directive de 1995 et paquet télécom de 2009
• Loi pour une République numérique du 7 octobre 2016
• Règlement européen pour la protection des données du 27 avril 2016 (RGPD)
3
Application du Règlement
• A tous les responsables de traitement et sous-traitants établis en UE
• Pour tout traitement visant un citoyen résidant en UE
• Comportant des données à caractère personnel
4
Les principes applicables au traitement
• Collecte licite et loyale
• Pour des finalités déterminées, explicites et légitimes
• De manière proportionnée
• Données exactes et mises à jour
• Pour une durée raisonnable5
Les principes applicables au traitement
• Protection du traitement by default
• Protection du traitement by design
6
Les obligations du responsable de traitement
• Le Registre des activités de traitement
• Le délégué à la protection des données (DPO)
• L’étude d’impact (PIA)
• Certifications et codes de conduite
7
La sécurité des données
• Mesures techniques✓ Confidentialité
✓ Intégrité
✓ Réversibilité
• Mesures organisationnelles✓ Politique de sécurité
✓ Pseudonymisation des données
8
Sous-traitants et transfert de données
• Obligations du sous-traitant
• Clauses obligatoires
• Transferts hors UE encadrés
9
Renforcement des droits des personnes
10
InformationConsente-
ment
Droit d’accès et de
rectification
Droit à un recours
Nouveaux droits des personnes concernées
• Droit à l’oubli
• Droit à la limitation du traitement
• Droit à la portabilité des données
• Actions collectives
• La question du profilage11
La et les sanctions
➢ Conseiller, contrôler, sanctionner
• Avertissements, mises en demeure, injonctions
• Amendes : jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial
• Sanctions pénales
• Dommages et intérêts
12
La démarche de conformité : les étapes
1. Désigner un pilote
• Chef d’orchestre pour coordonner l’intervention de tous les services concernés (conception, marketing, juridique, DSI …)
• Obligation de désigner un DPO ?
13
2. L’état des lieux et le diagnostic
➢ Recenser les traitements de données
➢ Identifier ses obligations
Quels traitements ? Quels acteurs ? Quelles données ? Quelles finalités ? Transfert hors UE ? Durée de conservation ? Etc.
14
3. La mise en conformité
Identifier et prioriser les actions à mener
• Adapter les traitements
• Etude d’impact pour les traitements à risque
• Politique de gestion des données
• Politique de sécurité, contrats avec les sous-traitants
• Sensibiliser les salariés, etc.
15
4. Constituer un dossier de conformité
• Documentation sur les traitements (registre, analyse d’impact, encadrement des transferts de données)
• Droits des personnes (information, consentement, exercice des droits)
• Contrats avec les sous-traitants et procédures concernant les violations de données
16
Des questions ?
PINT-Avocats
Espace Mistral – Bât. A Athélia IV
297, avenue Mistral
13705 La Ciotat Cedex
www.pint-avocats.fr
Tel: +33 (0)4 42 700 703
17