[data] RGPD-GDPR synthèse pour éditeur de service web BtoC (Règlement UE 2016/679 « données personnelles »)

Lorsque je suis invité à exposer les grandes lignes du RGPD à une société qui gère un service web (merci à Johanna @ Les Furets point com), je ne résiste pas. Surtout quand le service web est un comparateur d’assurance et de crédit à la consommation. Alors bien sûr, cette société s’intéresse de près à la GDPR, ses 99 articles et ses 173 « considérant » tous limpides…


Alors, quand on propose aux internautes un service web de comparaison de polices d’assurance, ces internautes sont des clients ou des prospects de l’éditeur du service web ?

Et le fondement juridique du traitement, en application de la GDPR : un traitement AVEC consentement ou un traitement SANS consentement « nécessaire à l’exécution d’un contrat » ? On peut aussi penser à un traitement (SANS consentement) « nécessaire aux fins des intérêts légitimes » du professionnel.

Certaines problématiques spécifiques se posent par ailleurs lorsqu’on traite de la data à des fins de devis d’assurance auto : car le professionnel traite alors aussi des données sensibles (des données de condamnations pénales liées au non-respect du Code de la route, par exemple au hasard…).

Et puis, toujours et encore des questions sur le devoir d’information pesant sur le professionnel, tout particulièrement sur la notion de « profilage » et sur l’exercice du droit d’opposition, qui n’a pas les mêmes conséquences dans la GDPR selon que le traitement ait pour fondement un consentement ou « les intérêts légitimes » du responsable du traitement.

Ah, évidemment, nous n’avons pas manqué d’évoquer avec l’équipe IT des problèmes de pseudonymisation et de chiffrement (encryption in English) des data collectée par le service web. Sans oublier les autres « mesures techniques et organisationnelles appropriées » en matière de sécurité à mettre en place d’ici 11 mois…

Problématique spécifique interessante : comment faire lorsque des données de la société « remontent » au UK, alors que le Brexit sera effectif le 29 mars 2019 ? Oui, je le rappelle, il faut s’habituer à ce que le Royaume-Uni va devenir un pays tiers à l’UE. Seule solution pour exporter ses data de la France vers le Royaume Uni après le 29 mars 2019 : soit une décision d’adéquation de la Commission européenne, soit fournir des garanties appropriées, pour prendre les 2 modalités les plus simples de transfert HORS UE de données [personnelles].

Voici donc un résumé des problématiques évoquées « live » le 10 juillet 2017. Avec en prime – pour se faire peur – les premières notions à retenir du projet de Règlement « e-Privacy » qui va concerner les métadonnées des communications électroniques… N’oubliez pas les métadonnées !

Merci aux participantes et aux participants de cette séance d’information juridique (ça fait peur) pour leurs questions (nombreuses !). Pour approfondir l’un des points évoqués ci-dessus, cliquez sur les liens hypertext que je vous propose pour accéder au détail du problème posé dans la GDPR (c’est la mauvaise nouvelle). Ce sera encore en BD (c’est la bonne nouvelle).

Et d’ailleurs : MERCI aux Editions Delcourt / Soleil pour me permettre de rendre un peu digeste cette loi si difficile, et pourtant si essentielle, pour les professionnels comme pour les citoyens et les consommateurs que nous toutes et tous. C’est possible grâce à des bandes dessinées aussi remarquables que « Horologion » ou « Badlands« , « La nef des fous » ou « Le dernier troyen« . Merci particulièrement à la Team Delcourt Sébastien Le Foll et Lucie Massena.

PS : oui, pour comprendre la cryptographie (en français technique précis) alias le chiffrement (encryption in English – je sais que je me répète), il faut s’accrocher. C’est compliqué. Même les principes. Mais c’est juste essentiel. Si j’y suis arrivé (moi, littéraire de formation…), c’est que C’EST POSSIBLE de comprendre. Au moins les concepts de base et leur utilisation à des fins de confidentialité (caractère secret du message), d’authentification (certitude de l’identité des émetteur/destinataire) ou d’intégrité (non modification du contenu du message). Mais bon, faut y aller pas à pas… Prenez votre temps… et oui, mes présentations sur le blockchain arrivent en septembre…


RGPD-GDPR Synthèse pour les éditeurs de service web (conférence 10 juillet 2017) [Ledieu-Avocats]


RGPD-GDPR Synthèse pour les éditeurs de service web (conférence 10 juillet 2017) [Ledieu-Avocats]


RGPD-GDPR Synthèse pour les éditeurs de service web (conférence 10 juillet 2017) [Ledieu-Avocats]