harlay avocats big ou smart, les nouveaux enjeux juridiques de la gouvernance des donnees - data...

28
Big ou Smart Data : les nouveaux enjeux juridiques de la gouvernance des données Salon Data Forum - 1 er décembre 2016 Harlay Avocats - Droits réservés harlaylaw.com 1 Sabine Lipovetsky [email protected]

Upload: micropole-group

Post on 19-Feb-2017

170 views

Category:

Presentations & Public Speaking


1 download

TRANSCRIPT

Big ou Smart Data : les nouveaux enjeux juridiques de la gouvernance des données

Salon Data Forum - 1er décembre 2016

Harlay Avocats - Droits réservésharlaylaw.com

1

Sabine [email protected]

2

Qui sommes nous ?Harlay Avocats (nouveau nom de Kahn & Associés) est un Cabinet d’avocats incontournable dans le domaine des technologies de l’information depuis 1988.Sabine Lipovetsky est Managing Partner du Cabinet et dirige le Département Technologies/Propriété Intellectuelle/Commercial. Elle compte parmi les experts du  droit de l’Internet,  du droit de la protection des données personnelles, du droit de l’informatique et de la propriété intellectuelle. 

Harlay Avocats - Droits réservésharlaylaw.com

3

Le cadre légal de la protection des données

Le champ d’application de la réglementation sur les données personnelles

Le rôle de la CNIL

Les bonnes pratiques

I

III

II

IV

Harlay Avocats - Droits réservésharlaylaw.com

I. LE CADRE LEGAL DE LA PROTECTION DES DONNEES

4Harlay Avocats - Droits réservés

harlaylaw.com

5

A. Entre droits de propriété et droits de la personne

Données propriétaires

Propriété intellectuelle

Contrats, confidentialité

Données personnelles

Données susceptibles d’être protégées

Harlay Avocats - Droits réservésharlaylaw.com

6

B. Réglementation des données personnelles

Textes européens Textes nationauxLoi n° 78-17 du 6 janvier 1978 (Loi Informatique et Libertés)

Directive 95/46/CE du 24 octobre 1995 Transposée par la loi du 6 août 2004 qui modifie en partie la loi de 1978

Règlement 45/2001 du 18 décembre 2000

Directive 2002/58/CE du 12 juillet 2002 Transposée en partie par la loi du 21 juin 2004

Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique

Règlement 2016/679 du 27 avril 2016 (GDPR)

Entrée en vigueur directe du GDPR le 25 mai 2018

Harlay Avocats - Droits réservésharlaylaw.com

II. LE CHAMP D’APPLICATION DE LA REGLEMENTATION SUR LES DONNEES

PERSONNELLES

7Harlay Avocats - Droits réservés

harlaylaw.com

8

II. Champ d’application de la réglementation sur les données personnelles

A. Donnée à caractère personnel ?

B. Traitement ?

C. Territorialité ?

Harlay Avocats - Droits réservésharlaylaw.com

9

Données permettant d’identifier une personne physique

Directement Indirectement

A. Les données dont l’usage est encadré Les données personnelles

Exemples : •  Nom et prénom•  Identifiant, log in•  Données biométriques

•  Numéro de sécurité sociale•  Numéro client•  Adresse IP

•  Données de localisation•  Numéro de téléphone•  Adresse email

Harlay Avocats - Droits réservésharlaylaw.com

10

B. Qu’est-ce que le traitement d’une donnée ?

Toute opération ou tout ensemble d’opérations portant sur des données personnelles

Utilisation des données

Interconnexionavec d’autres

fichiers de données

Collecte de données

Destruction de la base

Organisation dans une base

de données

Exemples :

Harlay Avocats - Droits réservésharlaylaw.com

11

Exemples : •  Marketing prédictif•  Services d’assistant personnel prédictif•  Détermination de scores de risques

Nouveaux enjeux liés aux calculs statistiques et

probabilistes permettant notamment de :

Définir un profil

Prédire un comportement

Faire une analyse

Prendre une décision

Le cas des algorithmes prédictifs

Harlay Avocats - Droits réservésharlaylaw.com

12

C. La condition de territorialité

Finalités du traitement

Moyens du traitement

Personne, autorité publique, service ou organisme

Le responsable de traitement

qui détermine

Harlay Avocats - Droits réservésharlaylaw.com

C. La condition de territorialité

13

Critère des moyens utilisés Critère du lieu d’installation

Responsable de traitement situé sur le territoire français

Moyens de traitement situés sur le territoire français

Harlay Avocats - Droits réservésharlaylaw.com

C. La condition de territorialité

14

Etablissement sur le territoire européen

Ciblage des résidents européens

Critère du lieu d’installation Critère du lieu d’installation

GDPR:

Harlay Avocats - Droits réservésharlaylaw.com

15

D. Le guichet unique ou « one stop shop »

GDPR : Interlocuteur unique pour l’Union européenne : autorité de protection des données de l’Etat membre où se trouve l’établissement principal du responsable de traitement ou du sous-traitant

Harlay Avocats - Droits réservésharlaylaw.com

III. LE ROLE DE LA CNIL

16Harlay Avocats - Droits réservés

harlaylaw.com

17

A. Etendue des pouvoirs de contrôle

Contrôle a priori Traitement Contrôle a

posteriori

•  Déclarations•  Autorisations

•  Accès aux locaux•  Verrouillage, effacement des

données•  Interdiction temporaire/définitive du

traitement

GDPR

•  Allègement de formalités préalables•  Responsabilisation des acteurs :

privacy by design + accountability

Harlay Avocats - Droits réservésharlaylaw.com

18

A. Etendue des pouvoirs de contrôle

GDPR : de nouveaux outils de conformité

Tenue d’un registre des traitements mis en œuvre

Certification des traitements

Adhésion à des codes de conduite

Désignation d’un Délégué à la Protection des Données (DPO)

Analyses d’impact sur la vie privée

Harlay Avocats - Droits réservésharlaylaw.com

19

B. Pouvoirs de sanction

Avertissement

Sanction pécuniaire : 3M€ (depuis la loi du 7

octobre 2016)

Injonction de cesser le

traitement

Retrait de l’autorisation

accordée par la CNIL

4% CA annuel mondial pour une

entreprise

Suppression de la mise en demeure

préalable dans certains cas

GDPR

GDPR

Retrait de la certification

délivrée par la CNIL

Harlay Avocats - Droits réservésharlaylaw.com

IV. LES BONNES PRATIQUES

20Harlay Avocats - Droits réservés

harlaylaw.com

A. Les sept principes essentiels à respecter

21

Principe de finalité

Principe de proportionnalité

Principe de pertinence des données

Principe de durée limitée de conservation des données

Principe de sécurité et de confidentialité

Principe de transparence

Principe du respect du droit des personnes

Harlay Avocats - Droits réservésharlaylaw.com

B. Les précautions à prendre

22

Au stade de la conception de la solution

Identifier les données traitées

Anonymiser et pseudonimiser les données traitées

Identifier les finalités de la solution et effectuer les déclarations nécessaires auprès de la CNIL

Vérifier en amont la conformité de chaque traitement = privacy by design

Harlay Avocats - Droits réservésharlaylaw.com

23

Au stade de la mise en œuvre de la solution

Veiller à respecter les droits de la personne

GDPR

Droit à l’information

Droit d’accès

Droit de rectification

Droit d’opposition

Renforcement du droit à l’information

Droit à la portabilité des données

Droit à l’oubli

Harlay Avocats - Droits réservésharlaylaw.com

24

Au stade de la mise en œuvre de la solution

Veiller à recueillir le consentement

Recueillir le consentement pour chaque finalité envisagée

Renforcement de l’exigence de consentement éclairéDemande de consentement formulée en des termes clairs et simples

GDPR

Règles spécifiques applicables pour:o  La prospection directe par emailo  Les cookies

Harlay Avocats - Droits réservésharlaylaw.com

25

Au stade de la mise en œuvre de la solution

Sécuriser les contrats d’externalisation et de sous-traitance

ü  Clause de confidentialité et de limitation de l’accès aux donnéesü  Audits de sécuritéü  Visite des installationsü  Chiffrement des données ü  Conditions de restitution des données

Mettre en œuvre des mesures de sécurité et de sauvegarde

Harlay Avocats - Droits réservésharlaylaw.com

26

Au stade de la mise en œuvre de la solution

Mettre en œuvre des mesures de sécurité et de sauvegarde

Responsabilisation du sous-traitant

Renforcement de l’obligation de sécurité en cas de violation de données personnelles

Notifier à l’autorité de protection des données dans les 72h

Analyse d’impact recommandée ou obligatoire en cas de risque élevé (ex : profilage)

Harlay Avocats - Droits réservésharlaylaw.com

27

Au stade de la mise en œuvre de la solution

Algorithmes prédictifs

Recommandations du Conseil d’Etat (Le numérique et les droits fondamentaux,9 septembre 2014) :ü  Assurer l’effectivité de l’intervention humaine dans la prise de décision au moyen

d’algorithmes ü  Mettre en place des garanties de procédure et de transparenceü  Développer le contrôle des résultats produits par les algorithmes

Harlay Avocats - Droits réservésharlaylaw.com

28

Merci pour votre attention

Des questions ?

Contact :Sabine Lipovetsky

+33 (0)1 45 01 45 [email protected]

Harlay Avocats - Droits réservésharlaylaw.com