Upload
marc-dangeard
View
113
Download
1
Embed Size (px)
Citation preview
Le contexteLoi informatique et libertés – 6 janvier 1978
◦ modifiée 6 aout 2004 (salariés)◦ Modifiée 24 aout 2011 (failles de sécurité)
Ordonnance 95-73 – 21 janvier 1995 (vidéo protection)
Directive européenne – 24 octobre 1995
Loi pour la confiance numérique – 21 juin 2004
Loi LOPPSI 2 – 14 mars 2011 (sécurité intérieure/vidéo dans les lieux publics)
Paquet Telecom – 12 juillet 2012
Ordonnance 2016-131 – 10 février 2016 (copie électronique/force de preuve)
Privacy shield – 1 aout 2016 (transfert US – remplacement de Safe harbor)
Règlement pour la protection des données – 27 avril 2016, devient effectif le 25 mai 2018
Loi pour la république numérique – 7 octobre 2016
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 2
Les donnéesDonnées personnelles = données liées à une personne identifiée ou identifiable
Données sensibles = interdites sans consentement ou cas particulier◦ NIR
◦ Origine raciale, ethnique, préférences politiques, religieuses, sexuelles
◦ Infractions, condamnations
◦ Données génétiques
◦ Données biométriques
◦ Données de santé
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 3
Les entreprises concernéesArticle 2 et 3 du règlement
Responsables de traitement / co-responsables (déterminent les finalités et les moyens)
Sous-traitants
Traitements automatisés ou non
Sur des données contenues (ou appelées à être mises) dans un fichier
Territorialité : toutes les organisations qui, pour des personnes basées en Europe, font :◦ une offre de bien ou service, ou
◦ un suivi de comportement
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 4
Responsabilité (1 of 2)Article 24
Assurer le respect du droit des personnes concernées, démontrer le respect du règlement
Proportionnalité: obligation de minimiser les données utilisées
Récupérer un consentement clair et informé(consentement en langage clair pour la personne, pas de jargon juridique)
Privacy by design : évaluer le risque
Si risque, analyse d’impact et mitigation du risque
Si l’analyse d’impact indique un risque élevé, consultation préalable
Assurer la sécurité des données
Privacy by default
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 5
Responsabilité (2 of 2)Designer un DPO si:
◦ Organisme public
◦ Traitements réguliers et systématiques à grande échelle
◦ Traitements à grande échelle de données sensibles
Tenir un registre des traitements pour :◦ Tous les entités publiques (autorité ou organisme, inclus les sociétés avec une mission d’ordre public)
◦ Les sociétés de plus de 250 employés
◦ Les sociétés qui ont un traitement qui comporte un risque pour les personnes concernées et qui est non-occasionnel ou porte sur des données sensibles
A noter que la notion de risque est clarifiée dans le considérant 75 (également abordée dans le WP248 pour les PIA)◦ Risque discrimination, vol ou une usurpation d'identite , perte financiere, atteinte a la reputation, perte de confidentialite de donnees protegees par le
secret professionnel, renversement non autorise du processus de pseudonymisation ou tout autre dommage economique ou social important;
◦ lorsque les personnes concernees pourraient etre privees de leurs droits et libertes ou empechees d'exercer le controle sur leurs donnees a caracterepersonnel;
◦ lorsque le traitement concerne des données sensibles;
◦ Traitements automatisés d’évaluation, y compris Profilage;
◦ lorsque le traitement porte sur des donnees a caractere personnel relatives a des personnes physiques vulnerables, en particulier les enfants; ou
◦ lorsque le traitement porte sur un volume important de donnees a caractere personnel et touche un nombre important de personnes concernees.
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 6
Le DPOArticle 37, 38, 39 (désignation, fonction, mission)
Pour un organisme public, ou une entreprise, ou un groupe d’entreprises (groupe)
Peut être salarié ou prestataire externe
Ne reçoit pas d’instructions
Peut être contacté par les personnes concernées
Soumis au secret professionnel ou obligation de confidentialité (à préciser – laissé aux états membres)
Peut être à temps partiel si pas de conflits d’intérêts
Rôle : ◦ Informer et conseiller
◦ Controller la mise en place d’audits et de formation
◦ Point de contact avec l’autorité de contrôle
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 7
Registre des traitementsArticle 30 - pour chaque traitement (peut inclure plusieurs finalités, peut faire appel à plusieurs logiciels) :
◦ Nom et coordonnées du responsable + DPO
◦ Finalités
◦ Catégories de personnes concernées
◦ Catégories de données
◦ Catégorie de destinataires
◦ Liste des sous-traitants (nom et coordonnées)
◦ Signaler les transferts de données hors Europe
◦ Dans la mesure du possible, les délais de conservation
◦ Dans la mesure du possible, description des mesures de sécurité
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 8
Analyse d’impactArticle 35 – recommandé pour les traitements comportant des risques pour la personne concernée ou avec des données sensibles (notion de accountability)
Obligatoire pour les cas suivants :◦ Infractions◦ Evaluation systématique et approfondie de personnes fondée sur un traitement automatisé et sur la base de
laquelle il y a des effets juridiques (dont profilage)◦ Traitement à grande échelle de données sensibles (volume de personnes ou richesse des données)◦ Surveillance de lieux publiques
Doit inclure l’avis des personnes concernées, d’experts, des sous-traitants, prendre en compte les codes de conduites s’il y en a
Doivent être mises à jour régulièrement (évolution du risque, de la technologie ou du contexte -accountability – démontrer le respect du règlement) – Recommandation de renouveler au moins tous les 3 ans
Pas nécessaire pour les données de santé si le traitement est fait par un médecin ou un professionnel de la santé ou un avocat exerçant à titre individuel
Dans tous les cas une analyse initiale est nécessaire (pour documenter)
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 9
Droit des personnesInformation préalable (Article 13 et 14)
◦ le responsable de traitement, nom, adresse, représentant, DPO et comment le contacter◦ Finalités - si collecte basée sur l’intérêt légitime, spécifier◦ Catégories de données, catégories de destinataires◦ Durée de conservation ou méthode de calcul de cette durée, si possible◦ Transfert hors UE (oui/non), si oui comment ces transferts sont encadrés◦ Sous-traitants (oui/non), si oui liste des sous-traitants◦ Utilisation ultérieure (oui/non), si oui information sur les autres finalités◦ Les droits de la personne concernée (accès, modification, effacement, limitation, opposition, portabilité)
Accès aux données (Article 15)
Droit de limitation (Article 18) – données non utilisées, temporaire ou permanent, notification en cas de levée de cette limitation
Portabilité (Article 20)
Droit à la modification ou à l’effacement (Article 16 et 17)
Droit d’opposition en cas de prise de décision automatisée (Article 21)
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 10
Consentement clair et informéArticle 7, article 8 pour les mineurs, considérant 32 (libre, spécifique, éclairé, univoque)
Nécessaire pour collecter les données, uniquement si :◦ pas de nécessité par contrat ou ◦ pas de condition particulière (intérêts vitaux de la personne, intérêt public, intérêt légitime qui n'atteint pas
les intérêts ou libertés et droits fondamentaux de la personne - pas de définition précise de l'intérêt légitime)
Etre en mesure de démontrer que le consentement a été obtenu
Spécifique (pas noyé au milieu d’un texte avec d’autres sujets, une case à cocher par finalité)
Forme compréhensible et aisément accessible, termes clairs et simples pour la personne
Doit être aussi simple à retirer qu’à donner
Clarifier si le consentement conditionne l’exécution d’un contrat ou l’accès à un service – le considérant 32 parle de consentement libre
Pour des mineurs de moins de 16 ans (flexible, pas moins de 13 ans), il faut le consentement des parents
Pour des mineurs ayant donné un consentement, droit à l’oubli quand ils deviennent adultes
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 11
Sécurité des donnéesArticle 32
Procédure pour garantir la confidentialité des données :◦ Accès : Pseudonymisation, chiffrement◦ Conservation◦ Disponibilité◦ Des tests réguliers pour vérifier l’intégrité du système◦ Démontrer le respect du règlement: code de conduite, certifications
En cas de violation:
Notification à l’autorité de contrôle dans 72 heures au plus tard◦ Nature, catégorie et nombre de personnes et volume de données affectés, conséquences probables, mesures
prises◦ Garder une trace de toutes les violations
Notifications aux personnes concernées si risque pour leurs droits et libertés◦ Nature, personne à contacter, conséquences, mesures prises
Si communication individuelle représente un effort disproportionné, communication publique
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 12
PortabilitéArticle 20
Données fournies et collectées (pas les données dérivées ou déduites, pas les données qui incluent aussi des données de tiers qui ne peuvent être dissociées sauf si intérêt légitime du responsable de traitement destinataire ou autre base légale)
Dans un format réutilisable, éventuellement transmis par voie électronique lorsque c’est possible (incitation à la mise en place d’une interopérabilité, le but est de fluidifier les transferts)
Droit de restitution, de transmission
Ne s’applique que lorsque la base légale de la collecte est le consentement ou l’exécution d’un contrat ou pour des traitements automatisés (cas des crawlers?). Pas les missions d'intérêt public par exemple, pas des données sur papier.
Dans le mois, au plus tard dans les 3 mois après réception de la requête
Vérifier l’identité de la personne en cas de demande
Devoir de proportionnalité pour le responsable de traitement qui reçoit les données
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 13
Privacy by design (1 of 2)Article 25
Dès la conception du traitement il faut prendre en compte les contraintes du règlement, notamment:
Minimisation des données (quantité, étendue des données collectées)
Sécurité des données
Avis des personnes concernées dans l’étude d’impact
Respect des droits de la personne concernée (accès, modification, effacement, limitation, opposition, transfert)
◦ Sous forme électronique quand les données ont été fournies sous forme électronique
◦ les consentements doivent être aussi faciles à modifier qu’à accepter
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 14
Privacy by design (2 of 2)Développer une culture de Privacy (travail d’équipe, culture ancrée dans la confiance du client)
Une charte n’est pas assez, il faut des pratiques:◦ Evaluations individuelles
◦ Education des équipes
◦ Outils pour gérer les incidents, les demandes d'accès, de rectification etc.
◦ Evaluations des prestataires/sous-traitants
Le DPO doit être impliqué le plus tôt possible dans la définition d’un nouveau traitement
Formation continue pour le DPO
Librairie d’outils et de clauses pour aider des opérationnels à gérer:◦ Liste de données collectables/collectées (proportionnalité)
◦ Collection, gestion, portabilité des données
◦ Information aux personnes concernées (droits)
◦ Gestion des droits (accès, rectifications, etc.)
◦ Renouvellement des consentements
CMACC TRANSACT - GDPR PRÉSENTATION - JUIN 2017 15