gdpr pour éditeurs et utilisateurs
TRANSCRIPT
![Page 1: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/1.jpg)
GDPR : Par où commencer ?
@Bernard_Lamon
![Page 2: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/2.jpg)
Sommaire Qui sommes-nous ? Objectifs et moyens de la réforme, quand ? S’applique à quoi ? Qui ? RT et ST, le DPO. Todo list : étude d’impact, bonnes pratiques, sécurité à garantir et à notifier, privacy by
design. Droits des personnes, Hors UE ? Labels et bonne conduite, Sanctions.
![Page 3: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/3.jpg)
Qui sommes-nous ?
Mission : protéger, valoriser et défendre vos actifs immatériels, Les avocats du Nouveau Monde : immatériel, Cabinet de niche, 5 personnes, Paris/Rennes, Clients : éditeurs, op internet, telcos, sociétés innovantes. Ex3 : experts, expérimentés, exclusifs. Nous ne faisons que cela, Modèle tarifaire : 1er rendez-vous gratuit.
![Page 4: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/4.jpg)
Objectifs et moyensHarmonise
r Responsab
iliser
Big Data Protéger la vie privée
Transfert des données
Prise en compte de l’évolution
technologique (profilage)
![Page 5: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/5.jpg)
Quand ?
Are you ready ? PAC study.Þ Application immédiate / pas de loi de transposition.Þ Traite 80% des sujets. 20% laissés aux Etats membres.
25 mai 2018 : entrée en vigueur du GDPR.
![Page 6: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/6.jpg)
Quoi
Matériel Territorial
Traitement de données personnelles.
Personne physique.
Exclusion des activités personnelles.
Etablissement du responsable de traitement (RT) ou du sous-traitant (ST) au sein de l’UE.
Peu importe que traitement ait lieu ou non dans l’UE.
RT ou ST non établi dans l’UE (vente de profilage).
![Page 7: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/7.jpg)
Les acteurs
Personne physique ou morale, autorité
publique, service ou autre organisme.
Seul ou conjointement avec d’autre(s).
Détermine les moyens et les finalités du
traitement.
Responsable de l’ensemble des
obligations du GDPR.
Responsable du dommage causé.
Personne ayant subi un dommage du fait du non-respect des
obligations du GDPR a droit à réparation.
RT
![Page 8: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/8.jpg)
Les acteurs
Personne physique ou morale, autorité publique, service
ou autre organisme.
Traite des données au nom et pour le
compte du RT.
Responsable du dommage causé par le traitement
s’il n’a pas respecté ses
obligations ou a agi en dehors
des instructions du RT.
ST
![Page 9: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/9.jpg)
Le ST Inversion du principe précédent : plus de Ponce Pilate,Þ Obligation d’assurer la confidentialité et la sécurité des données,Þ Tenue d’un registre,Þ Pas de sous-sous-traitance sans autorisation et transfert des mêmes
contraintes,Þ Organisation technique (pseudonymisation, chiffrement des données,
résilience, PAQ).
![Page 10: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/10.jpg)
Le STClauses du contrat exigées par le RGDP : Instructions documentées du RT ; Devoir d’information du STT à l’égard du RT ; Devoir de confidentialité ; Obligations :
de justifier de l’orga, De la sécu, suppression et destruction des données.
![Page 11: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/11.jpg)
Le CIL-DPO
Désignation obligatoire Modalités Statut Missions
Autorité ou entité publique ; Activités principales qui
impliquent des traitements induisant un contrôle régulier et systématique des personnes à grande échelle ;
traitements à grande échelle des catégories particulières de données (données sensibles…) et des données relatives à des condamnations et infractions.
Salarié ou consultant ;
DPO mutualisé ;
Obligation de communiquer à la Cnil et aux personnes fichées les coordonnées du DPO.
Compétences techniques, juridiques et organisationnelles ;
Indépendance ;
Absence de conflits d’intérêts ;
Confidentialité / secret professionnel.
Informer et conseiller ;
Contrôler le respect de la règlementation (audit) ;
Superviser les PIA (études d’impact) ;
Former / sensibiliser ;
Point de contact avec la Cnil.
![Page 12: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/12.jpg)
Accountability.
Principe de responsabilité. Traçabilité : registre de traitement. PAQ : PIA (privacy impact assessment) + formation + Code de bonne
conduite + Audit + Certification, etc. Obligation de documentation.
![Page 13: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/13.jpg)
Etude d’impact (PIA)
Cas d’ouverture
•Profilage / segmentation ;•Traitement à grande échelle de catégories particulières de données sensibles;•Surveillance systématique à grande échelle d'une zone accessible au public.•Listes établies par les Cnil nationales.
Contenu•Description opérations, finalités, intérêts légitimes du RT ;•Évaluation de la nécessité et de la proportionnalité ;•Évaluation des risques ;•Mesures adoptées.
![Page 14: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/14.jpg)
Privacy by design/defaultPrivacy by design Privacy by default
Conception des services tenant compte du respect de la vie privée.
Respect du principe de minimisation des données et de limitation des finalités.
Haut standard de sécurité depuis la conception.
Documentation des mesures techniques et opérationnelles.
Mise en œuvre des mesures techniques et organisationnelles pour garantir que par défaut, seules les données personnelles nécessaires à la finalité du traitement sont traitées (ex. quantité, accès limité aux seules personnes y ayant intérêt, etc.).
Documentation des mesures techniques et opérationnelles.
![Page 15: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/15.jpg)
Notification des failles de sécurité.
Responsable de traitement Sous-traitant
Obligation de notification étendue à l’ensemble des RT ;
Contenu notification (catégories de données concernées, conséquences, mesures prises) ;
Obligation d’alerter les individus si haut risque pour les droits et les libertés de l’individu (sauf mesures de protection appropriées prises).
Obligation d’alerter et d’informer le RT de l’existence d’une violation de sécurité.
![Page 16: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/16.jpg)
Sécurité
Pseudonymisation Anonymisation
Les données ne peuvent plus être attribuées à un individu sans avoir recours à des informations supplémentaires conservées de manière séparée afin de garantir qu’il ne soit plus identifié ou identifiable.
Þ RÉVERSIBLE
Technique consistant à supprimer tout caractère identifiant à un ensemble de données.
Þ IRRÉVERSIBLE
![Page 17: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/17.jpg)
Droits des personnes• Définition précisée (libre,
spécifique, éclairée et univoque)
• Charge de la preuve au RT• Consentement des enfants• Interdiction des données
sensibles
• Mentions nouvelles : intérêts légitimes du RT, durée de conservation, coordonnées DPO, droit à la limitation et portabilité, droit de retirer son consentement, etc.
• Limitation, portabilité, opposition, droit à l’oubli
• concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples
• Icones normalisés.
Consentement
Informations des
personnes
Nouveaux droits
Transparence de
l’information
![Page 18: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/18.jpg)
Droits des personnes
Droit à l’oubli•Droit à l’effacement de ses données dans les meilleurs délais ;•Conditions : données plus nécessaires, retrait du consentement, opposition au traitement ;•Exceptions : liberté d’expression et d’information, obligation légale, etc.
Droit à la limitation du traitement
•Contestation exactitude des données•Traitement illicite et la personne préfère une limitation à un effacement•Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale…)
Droit à la portabilité
•Extension du droit d’accès (données fournies à un RT)•Interopérabilité (format structuré, couramment utilisé et lisible par machine)•Transfert (à un autre RT)•Restrictions (traitement de données automatisés,…)
![Page 19: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/19.jpg)
Transfert des données hors UEInterdiction des transferts de données en dehors UE sauf niveau adéquat de protection des
données personnelles.
A défaut, il faut des garanties adéquates.Accords internationaux (Safe Harbor / Privacy Shield)
Règles d’entreprise contraignante / Binding corporate rules (BCR)
Clauses contractuelles type adoptées par la Commission Européenne
Code de conduite ou certification
Dérogation limitées (consentement, exécution d’un contrat, etc.)
![Page 20: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/20.jpg)
Labels et bonne conduite
Certification / labels
•Accordés par des organismes accrédités par les Autorités pour 3 ans, au plus, renouvelables•Création de labels européens (« European Data Protection Seal »)•Registre public tenu par le CEPD (Comité Européen de Protection des Données)
Code de bonne conduite
•Elaborés par des associations ou entités représentatives des RT/SST•Approuvés par les Autorités•Adhésion facultative, mais valeur contraignante•Contrôle du respect des codes par un organisme accrédité par l’Autorité
![Page 21: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/21.jpg)
Sanctions
GDPR
![Page 22: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/22.jpg)
Boîte à outils Désigner 1 pilote (internet/DPO), Cartographier, Prioriser les actions, Gérer les risques : PIA, Organiser les processus internes, Documenter la conformité. Cf guide de la CNIL.
![Page 23: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/23.jpg)
Ressources https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf Guidelines sur le DPO du G29 Guidelines sur le droit à la portabilité des données Avis du G29 sur les techniques d’anonymisation https://www.cnil.fr/sites/default/files/typo/document/Guide_pratique_Prise_de_fonction_CIL.
pdf ;
https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article40-1 https://www.cnil.fr/reglement-europeen-protection-donnees
![Page 24: Gdpr pour éditeurs et utilisateurs](https://reader036.vdocuments.site/reader036/viewer/2022062902/58eff94d1a28ab681f8b45bf/html5/thumbnails/24.jpg)
See you soonNouveau Monde Avocats11 quai Chateaubriand 35000 Rennes222 boulevard Saint-Germain 75007 Paris0299230033
https://www.nouveaumonde-avocats.com/