harlay avocats big ou smart, les nouveaux enjeux juridiques de la gouvernance des donnees - data...
TRANSCRIPT
Big ou Smart Data : les nouveaux enjeux juridiques de la gouvernance des données
Salon Data Forum - 1er décembre 2016
Harlay Avocats - Droits réservésharlaylaw.com
1
Sabine [email protected]
2
Qui sommes nous ?Harlay Avocats (nouveau nom de Kahn & Associés) est un Cabinet d’avocats incontournable dans le domaine des technologies de l’information depuis 1988.Sabine Lipovetsky est Managing Partner du Cabinet et dirige le Département Technologies/Propriété Intellectuelle/Commercial. Elle compte parmi les experts du droit de l’Internet, du droit de la protection des données personnelles, du droit de l’informatique et de la propriété intellectuelle.
Harlay Avocats - Droits réservésharlaylaw.com
3
Le cadre légal de la protection des données
Le champ d’application de la réglementation sur les données personnelles
Le rôle de la CNIL
Les bonnes pratiques
I
III
II
IV
Harlay Avocats - Droits réservésharlaylaw.com
5
A. Entre droits de propriété et droits de la personne
Données propriétaires
Propriété intellectuelle
Contrats, confidentialité
Données personnelles
Données susceptibles d’être protégées
Harlay Avocats - Droits réservésharlaylaw.com
6
B. Réglementation des données personnelles
Textes européens Textes nationauxLoi n° 78-17 du 6 janvier 1978 (Loi Informatique et Libertés)
Directive 95/46/CE du 24 octobre 1995 Transposée par la loi du 6 août 2004 qui modifie en partie la loi de 1978
Règlement 45/2001 du 18 décembre 2000
Directive 2002/58/CE du 12 juillet 2002 Transposée en partie par la loi du 21 juin 2004
Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique
Règlement 2016/679 du 27 avril 2016 (GDPR)
Entrée en vigueur directe du GDPR le 25 mai 2018
Harlay Avocats - Droits réservésharlaylaw.com
II. LE CHAMP D’APPLICATION DE LA REGLEMENTATION SUR LES DONNEES
PERSONNELLES
7Harlay Avocats - Droits réservés
harlaylaw.com
8
II. Champ d’application de la réglementation sur les données personnelles
A. Donnée à caractère personnel ?
B. Traitement ?
C. Territorialité ?
Harlay Avocats - Droits réservésharlaylaw.com
9
Données permettant d’identifier une personne physique
Directement Indirectement
A. Les données dont l’usage est encadré Les données personnelles
Exemples : • Nom et prénom• Identifiant, log in• Données biométriques
• Numéro de sécurité sociale• Numéro client• Adresse IP
• Données de localisation• Numéro de téléphone• Adresse email
Harlay Avocats - Droits réservésharlaylaw.com
10
B. Qu’est-ce que le traitement d’une donnée ?
Toute opération ou tout ensemble d’opérations portant sur des données personnelles
Utilisation des données
Interconnexionavec d’autres
fichiers de données
Collecte de données
Destruction de la base
Organisation dans une base
de données
Exemples :
Harlay Avocats - Droits réservésharlaylaw.com
11
Exemples : • Marketing prédictif• Services d’assistant personnel prédictif• Détermination de scores de risques
Nouveaux enjeux liés aux calculs statistiques et
probabilistes permettant notamment de :
Définir un profil
Prédire un comportement
Faire une analyse
Prendre une décision
Le cas des algorithmes prédictifs
Harlay Avocats - Droits réservésharlaylaw.com
12
C. La condition de territorialité
Finalités du traitement
Moyens du traitement
Personne, autorité publique, service ou organisme
Le responsable de traitement
qui détermine
Harlay Avocats - Droits réservésharlaylaw.com
C. La condition de territorialité
13
Critère des moyens utilisés Critère du lieu d’installation
Responsable de traitement situé sur le territoire français
Moyens de traitement situés sur le territoire français
Harlay Avocats - Droits réservésharlaylaw.com
C. La condition de territorialité
14
Etablissement sur le territoire européen
Ciblage des résidents européens
Critère du lieu d’installation Critère du lieu d’installation
GDPR:
Harlay Avocats - Droits réservésharlaylaw.com
15
D. Le guichet unique ou « one stop shop »
GDPR : Interlocuteur unique pour l’Union européenne : autorité de protection des données de l’Etat membre où se trouve l’établissement principal du responsable de traitement ou du sous-traitant
Harlay Avocats - Droits réservésharlaylaw.com
17
A. Etendue des pouvoirs de contrôle
Contrôle a priori Traitement Contrôle a
posteriori
• Déclarations• Autorisations
• Accès aux locaux• Verrouillage, effacement des
données• Interdiction temporaire/définitive du
traitement
GDPR
• Allègement de formalités préalables• Responsabilisation des acteurs :
privacy by design + accountability
Harlay Avocats - Droits réservésharlaylaw.com
18
A. Etendue des pouvoirs de contrôle
GDPR : de nouveaux outils de conformité
Tenue d’un registre des traitements mis en œuvre
Certification des traitements
Adhésion à des codes de conduite
Désignation d’un Délégué à la Protection des Données (DPO)
Analyses d’impact sur la vie privée
Harlay Avocats - Droits réservésharlaylaw.com
19
B. Pouvoirs de sanction
Avertissement
Sanction pécuniaire : 3M€ (depuis la loi du 7
octobre 2016)
Injonction de cesser le
traitement
Retrait de l’autorisation
accordée par la CNIL
4% CA annuel mondial pour une
entreprise
Suppression de la mise en demeure
préalable dans certains cas
GDPR
GDPR
Retrait de la certification
délivrée par la CNIL
Harlay Avocats - Droits réservésharlaylaw.com
A. Les sept principes essentiels à respecter
21
Principe de finalité
Principe de proportionnalité
Principe de pertinence des données
Principe de durée limitée de conservation des données
Principe de sécurité et de confidentialité
Principe de transparence
Principe du respect du droit des personnes
Harlay Avocats - Droits réservésharlaylaw.com
B. Les précautions à prendre
22
Au stade de la conception de la solution
Identifier les données traitées
Anonymiser et pseudonimiser les données traitées
Identifier les finalités de la solution et effectuer les déclarations nécessaires auprès de la CNIL
Vérifier en amont la conformité de chaque traitement = privacy by design
Harlay Avocats - Droits réservésharlaylaw.com
23
Au stade de la mise en œuvre de la solution
Veiller à respecter les droits de la personne
GDPR
Droit à l’information
Droit d’accès
Droit de rectification
Droit d’opposition
Renforcement du droit à l’information
Droit à la portabilité des données
Droit à l’oubli
Harlay Avocats - Droits réservésharlaylaw.com
24
Au stade de la mise en œuvre de la solution
Veiller à recueillir le consentement
Recueillir le consentement pour chaque finalité envisagée
Renforcement de l’exigence de consentement éclairéDemande de consentement formulée en des termes clairs et simples
GDPR
Règles spécifiques applicables pour:o La prospection directe par emailo Les cookies
Harlay Avocats - Droits réservésharlaylaw.com
25
Au stade de la mise en œuvre de la solution
Sécuriser les contrats d’externalisation et de sous-traitance
ü Clause de confidentialité et de limitation de l’accès aux donnéesü Audits de sécuritéü Visite des installationsü Chiffrement des données ü Conditions de restitution des données
Mettre en œuvre des mesures de sécurité et de sauvegarde
Harlay Avocats - Droits réservésharlaylaw.com
26
Au stade de la mise en œuvre de la solution
Mettre en œuvre des mesures de sécurité et de sauvegarde
Responsabilisation du sous-traitant
Renforcement de l’obligation de sécurité en cas de violation de données personnelles
Notifier à l’autorité de protection des données dans les 72h
Analyse d’impact recommandée ou obligatoire en cas de risque élevé (ex : profilage)
Harlay Avocats - Droits réservésharlaylaw.com
27
Au stade de la mise en œuvre de la solution
Algorithmes prédictifs
Recommandations du Conseil d’Etat (Le numérique et les droits fondamentaux,9 septembre 2014) :ü Assurer l’effectivité de l’intervention humaine dans la prise de décision au moyen
d’algorithmes ü Mettre en place des garanties de procédure et de transparenceü Développer le contrôle des résultats produits par les algorithmes
Harlay Avocats - Droits réservésharlaylaw.com
28
Merci pour votre attention
Des questions ?
Contact :Sabine Lipovetsky
+33 (0)1 45 01 45 [email protected]
Harlay Avocats - Droits réservésharlaylaw.com