RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [formation Les Echos Lamy 6 décembre 2018]

[6 décembre 2018] « RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES » ? Voici près de 6 mois que le RGPD-GDPR est entré en vigueur et, manifestement, pour beaucoup d’entreprises (je ne parle même pas des personnes publiques…), il reste pas mal de travail. Alors comme nous avons la journée devant nous, nous allons progresser pas à pas pour donner du sens à ce RGPD-GDPR n°2016/679 du 27 avril 2016 et aux obligations légales de protection des données à caractère personnel. 


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : prolégomènes

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 00


Faisons connaissance et voyons le plan de la journée. Il y a tant de sujets à « traiter ». La présentation en BD de cette introduction est toute entière dans le slider ci-dessous.


 

la protection des données personnelles des ENTREPRISES : « pourquoi » la GDPR (et « e-Privacy ») ?

Il faut commencer dans l’ordre. Un peu de perspective technique et juridique nous aideront à donner du sens à ces règlementations, quasiment toutes d’origine européenne.

Penchons d’abord sur l’univers des communications électroniques pour digérer les notions de « données de contenu« , de « métadonnées » et de « données à caractère personnel« . Sans oublier la notion de « traitement« , aujourd’hui utilisée (aussi) par les nouvelles règlementations sur la sécurité obligatoire des systèmes d’information (par exemple la loi « S.R.S.I. » du 26 février 2018).

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 02


Ce sera l’occasion de nous pencher un peu sur le projet de Règlement « e-Privacy », suite logique et annoncée de la GDPR. Je vous rappelle pour l’instant que le texte légal de référence toujours en vigueur est la Directive 2002/58 « vie privée et communications électroniques » ou (« e-Privacy »). C’est marrant, dans tous les contrats rédigés par les Anglo-Saxons que je vois passer en ce moment, il n’est jamais fait référence à cette Directive ! Je me demande bien pourquoi…

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 03


Nous regarderons aussi ce que sont les « données sensibles » (données politiques / religieuses / syndicales / etc. + les données de santé) et les données « police-justice ».

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 04


Nous terminerons ce chapitre essentiel avec un rappel sur les critères d’application territoriale du RGPD-GDPR, pour savoir si votre entreprise est impactée. Il est (plus que) probable qu’elle le soit.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 05


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : le slider avec les notions essentielles est ici !


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : une mise en perspective de la technique et des législations

Maintenant que les définitions fondamentales sont vues, petit retour sur la genèse technique et juridique de la GDPR et de e-Privacy. Avec un rappel des principes de la Charte des droits fondamentaux de 2000, texte fondateur du droit de l’Union Européenne.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 06


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : mise en perspective technique et juridique dans le slider ci-dessous


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : « qui » fait « quoi » dans la chaine du traitement des données ?

Pas de secret : pour appliquer la GDPR, il faut comprendre si l’entreprise est responsable de traitement (« data controller ») ou sous-traitant (« data processus »), sans oublier le problème de la responsabilité conjointe (le lien http vous renverra sur mon analyse de la jurisprudence CJUE du 5 juin 2018).

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 07


Impossible de comprendre le droit de la protection des données à caractère personnel sans faire un détour (appuyé) par le droit du contenu des bases de données numériques. La Directive CE 96/9 du 11 mars 1996 mérite toute votre attention, c’est elle qui permet de régler le droit d’un sous-traitant à « piocher » dans le contenu de la base de données du responsable de traitement « producteur ». Car comme vous le rappelle Clément XVII (le gentil Roy de la Nef des Fous) juste en dessous, « le droit de propriété sur les data, ça n’existe pas » !

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 08


Et pour conclure ce chapitre, un rappel de ce que sont les principes du « privacy by default / privacy by design« . En mots simple, « privacy by design », ce sont des logiciels / traitements de données conçus dès l’origine dans le respect de la législation sur la protection des données personnelles. Evidemment, le principe est plus simple à intégrer qu’à mettre en oeuvre

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 09


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : responsable de traitement / sous-traitant / droit du contenu des bases de données —> dans le slider ci-dessous


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : profilage / opposition / consentement / oubli

Il faut évoquer la notion centrale de cette réforme qu’est le « profilage » et le nouveau droit spécial d’opposition à prospection/profilage, qui fait couler tant d’encre (et fait beaucoup faire l’autruche chez de nombreux professionnels…). 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 10


Puis il faut évoquer les 6 options de la « base juridique » – aujourd’hui incontournable – a accoler à chaque traitement de données à caractère personnel. C’est le débat « traitement AVEC ou SANS consentement« . Vous allez voir, une fois compris l’esprit de la GDPR, la solution est assez simple et, contrairement au marketing de la peur largement véhiculé par les « nouveaux » spécialistes du droit de la protection des données personnelles, le résultat ne passe pas par une adoption générale du consentement préalable.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 11


Et tant qu’à évoquer les traitements AVEC ou SANS consentement, attardons nous un peu sur la nouvelle définition du consentement et sur son corollaire incontournable, le droit à l’oubli.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 12


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : les notions juridiques clé sont dans le slider ci-dessous


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : l’obligation d’information / collecte directe / collecte indirecte

C’est une des révolutions de cette GDPR-RGPD : l’obligation pour l’entreprise de dire à ses clients / prospects / salariés / fournisseurs / etc. quelles données sont collectées, pourquoi faire, pour combien de temps… Pour les juristes et les cabinets d’audit, c’est ici que se situe le gros du travail.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 14


C’est le moment de se pencher sur les 9 droits GDPR pour essayer de s’y retrouver.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 15


Nous en profiterons pour évoquer le Data Protection Officer qui a pris tant d’importance dans la pratique de la mise en oeuvre de la GDPR.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 16


… et pour survoler le « registre des opérations de traitement » qui remplace (agréablement ?) les obligations déclaratives si mal respectées.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 17


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : obligation d’information / DPO / registre —> dans le slider ci-dessous


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : obligation de sécurité et jurisprudence CNIL

Pas de mystère, la première loi imposant des obligations de sécurisation des systèmes d’information est le RGPD ! Là encore, il faut rentrer dans certains concepts techniques comme le chiffrement et la pseudonymisation…

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 18


Ce serait dommage de ne pas s’intéresser à la jurisprudence de la CNIL depuis 2017, non ? Surtout qu’il y a de quoi faire frémir plus d’un DSI…

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 19


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : l’obligation de sécurisation des systèmes d’information —> dans le slider ci-dessous


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : les transfert HORS UE de données

Je sais… vous êtes saoulé(e) de tant de détails… Mais comment ne pas évoquer les règles qui autorisent ou interdisent de transférer les données personnelles HORS UE ? Nous irons à l’essentiel, promis !

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 20


Il faut aussi évoquer le nouveau régime des contrats de sous traitance… C’est tellement plus strict que sous le régime de la Directive 95/46 qu’il faudrait que vous ayez au moins le réflexe d’aller voir ce que contient la GDPR sur ce point stratégique.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 21


Ah oui !  j’oubliais… Juste quelques mots (pour finir de se faire peur ?) sur les pouvoirs d’enquête et de sanction de la CNIL en France.

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 22


Et si vraiment, nous avons encore le temps, quelques mots sur les études d’impact et la notion (compliquée) de « risques (élevés) pour les droits et libertés des personnes« .

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 23


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : Transfert hors UE / CNIL et DPIA —> dans le slider ci-dessous


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : that’s all, folks !

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 24


 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES : les BD support (merci aux éditions Delcourt / Soleil !!!)

 

RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 25


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 26


RGPD-GDPR-e-Privacy protection des données personnelles des ENTREPRISES [Ledieu-Avocats] droit du numérique et des nouvelles technologies 27