SlideShare a Scribd company logo

Protection des données personnelles : le nouveau projet de règlement européen

Thiebaut Devergranne
Thiebaut Devergranne
Business
1 of 18
CELUI QUI JONGLE AVEC LES DONNÉES PERSONNELLES… … fait bien de suivre l’évolution du projet de règlement européen ! Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 9 octobre 2012
Celui qui jongle avec les données personnelles… 2 Qui suis-je ?  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Docteur en droit privé sciences criminelles  Formation d’avocat (CAPA)  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 3 La protection des données personnelles en 2012 : un bilan très mitigé… © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 4 La récurrence des atteintes de sécurité… © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 5 Le régulateur réagit…
Celui qui jongle avec les données personnelles… 6 Des changements nécessaires ! • La directive date de 1995… • L’objectif de la réforme est de simplifier et de renforcer les droits des citoyens • Nombreuses révolutions informatiques ont eu • Ex: droit à l’oubli, consentement au lieu ; impacts majeurs sur le traitement des traitement données personnelles : • Internet • Attention les principes posés par la directive ne • Réseaux sociaux sont pas remis en cause • Mobiles • Géolocalisation • Convaincre et s’imposer… • Biométrie • Cloud • SaaS, IaaS, Paas • … • Complexité également au niveau de l’adaptation de la directive : 27 pays européens, 27 transpositions…
Celui qui jongle avec les données personnelles… 7 D’abord en prévoyant de réelles sanctions… Art. 79 - sanctions :  2% du CA global d’un groupe  1.000.000 euros A 2% annual turnover fine would have meant 1.2 Billion dollars in 2008 for a company like Microsoft ! http://www.donneespersonnelles.fr Effet de levier important, mais est-ce que la CNIL utilisera ces moyens à pleine capacité ?
Celui qui jongle avec les données personnelles… 8 Un texte unique • 27 pays, un texte! • Directive vs règlement • Le règlement sera d’application directe • Comptoir unique • … mais un gros texte quand même… • +80 pages • Un peu moins de 100 articles • Des procédures complexes • Pour le PME : la digestion sera difficile • Le règlement sera d’application très large… Le présent règlement s'applique au traitement [réalisé par un] responsable du • Innovation très importante – art. 3 traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: • Toute personne traitant des données a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou personnelles d’un citoyen EU tombera sous le b) à l’observation de leur comportement. coup du texte © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 9 Fini les déclarations ! • Vrai-Faux bénéfice : le responsable du traitement doit conserver une trace documentée de tous les traitements réalisés (art. 28) • La mesure est censée faire économiser 130 millions d’euros aux Etats (mais transfert de charge vers les entreprises…) • Cependant le responsable devra nommer un DPO, obligatoire dans 3 cas (art. 35) : • Pour toute autorité publique • Entreprises > 250 personnes • Quelques cas particuliers • Le DPO est indépendant et ne reçoit aucune instruction pour la conduite de sa mission © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 10 Et bonjour la documentation… • Le responsable du traitement devra démontrer que la loi est bien respectée au sein de son organisation • Obligation de documentation • Obligation de réaliser une étude d’impact pour les traitements à risque (données sensibles, biométrie…) – art. 33 • Cette documentation pourra être vérifiée à tout moment par l’autorité nationale de contrôle, sous peine de sanctions © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 11 Attention, les autorisations existent toujours… • Les autorisations restent en vigueur (art. 34) ! • L’autorité de contrôle établit une liste des traitements à risque nécessitant une autorisation • Le responsable du traitement devra fournir une étude d’impact – art. 33 • Cette étude d’impact doit être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes ; ex : • Données sensibles • Fichiers de grande ampleur concernant des enfants, des données génétiques, biométriques… © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 12 De nouvelles obligations de sécurité… • L’évaluation des risques de sécurité est Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des maintenant explicite et obligatoire pour risques présentés par le traitement, pour préserver la sécurité des chaque traitement données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. • La Commission pourra préciser Art. 34 actuel : L’évaluation est implicite ! techniquement les mesures de sécurité à mettre en œuvre (IDS…) – art. 30.3 et 4 • L’obligation d’assurer la sécurité du À la suite d'une évaluation des risques, le responsable du traitement des données personnelles reste traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la pratiquement inchangée destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorisés, ou l'altération de données à caractère personnel. Art. 30.2 - Projet de règlement européen © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 13 Et bienvenue à la nouvelle obligation de notification… Vivianne Reding, vice-présidente de la Commission : « J’ai l’intention d’introduire une obligation de notification de violation de sécurité des données à caractère personnel – la même que j’ai introduite pour les télécommunications et Internet quand j’étais Commissaire aux Telecoms, mais cette fois-ci pour tous les secteurs, incluant les banques et les services financiers », 20 juin 2011. © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 14 Article 31  Projet de règlement européen 1. En cas de violation de données à caractère personnel, le  Extension de l’obligation actuelle de l’article 34 bis responsable du traitement en adresse notification à l'autorité de (OCE) contrôle sans retard injustifié et, si possible, 24 heures au plus  Notification à l’autorité de contrôle des violations de tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce données personnelles (art. 30) délai de 24 heures, la notification comporte une justification à cet  Concerne tout le monde, pas seulement les OCE égard.  « Sans retard injustifié » 2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant  « Si possible 24 heures au plus tard » alerte et informe le responsable du traitement immédiatement  Justification si +24h. après avoir constaté la violation de données à caractère personnel.  Attention : l’obligation concerne également les sous- 3. La notification visée au paragraphe 1 doit, à tout le moins: traitants a) décrire la nature de la violation de données à caractère  Le sous-traitant doit informer le responsable du personnel, y compris les catégories et le nombre de personnes traitement de toute violation qu’il connait concernées par la violation et les catégories et le nombre  La notification décrit d’enregistrements de données concernés;  Nature des données, nb personnes concernées b) communiquer l’identité et les coordonnées du délégué à la  Point de contact protection des données ou d'un autre point de contact auprès  Mesures d’atténuation duquel des informations supplémentaires peuvent être obtenues;  Conséquences de la violation c) recommander des mesures à prendre pour atténuer les  Mesures ayant été prises pour y remédier éventuelles conséquences négatives de la violation de données à  Qu’est-ce qu’une violation de sécurité ? caractère personnel;  Se définit comme « une violation de la sécurité entraînant de d) décrire les conséquences de la violation de données à caractère manière accidentelle ou illicite la destruction, la perte, personnel; l’altération, la divulgation ou la consultation non autorisées de DCP transmises, conservées ou traitées d’une autre manière ». e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère © T. Devergranne – td@hstd.net personnel.
Celui qui jongle avec les données personnelles… 15 Article 31 (suite)  Projet de règlement européen Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures  Le responsable conserve une trace prises pour y remédier. La documentation constituée doit documentaire de toute violation permettre à l'autorité de contrôle de vérifier le respect des  Contexte dispositions du présent article. Elle comporte uniquement les  Effets informations nécessaires à cette fin.  Mesures mises en œuvre pour y remédier 5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les  Préparez-vous dès maintenant à… circonstances particulières dans lesquelles un responsable du  Tracer l’ensemble des incidents de sécurité traitement et un sous-traitant sont tenus de notifier la violation de dans votre organisation données à caractère personnel.  Exiger la même chose de vos sous-traitants 6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les  Commencez à réfléchir à… modalités selon lesquelles est constituée la documentation  Comment le faire en 24h… visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 16  Projet de règlement européen Art 32  Communication de la violation à la 1. Lorsque la violation de données à caractère personnel est susceptible de personne concernée porter atteinte à la protection des données à caractère personnel ou à la vie  Sans retard indu privée de la personne concernée, le responsable du traitement, après avoir  Description précise de la violation procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. 2. La communication à la personne concernée prévue au paragraphe 1  Dans certains cas, la communication décrit la nature de la violation des données à caractère personnel et peut être écartée avec l’aval de contient au moins les informations et recommandations prévues à l’article l’autorité nationale de contrôle 31, paragraphe 3, points b) et c).  Nécessite que les mesures de 3. La communication à la personne concernée d'une violation de ses protection soient mises en œuvre données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données  Commencez à réfléchir à… incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. 4. Sans préjudice de l’obligation du responsable du traitement de  L’impact d’une notification sur la continuité business communiquer à la personne concernée la violation de ses données à  Inclure la notification dans votre PSSI caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute. © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 17 Il reste encore du chemin à faire… • Adoption vraisemblable du règlement entre 2014 et 2016 • Mais la proposition doit tout d’abord être acceptée par le Conseil et le Parlement Européen avant d’être adoptée • Attention toutefois à bien suivre l’évolution du projet qui risque de changer dans les années à venir ! © T. Devergranne – td@hstd.net
Celui qui jongle avec les données personnelles… 18 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr

Recommended

Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnellesProf. Jacques Folon (Ph.D)
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 

Recommended

Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UEPECB
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnellesProf. Jacques Folon (Ph.D)
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...earlegal #hors-serie - Transferts internationaux de données à caractère perso...
earlegal #hors-serie - Transferts internationaux de données à caractère perso...Lexing - Belgium
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDAgathe Rouviere 🚀
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...EdPoliteia
 
RGPD
RGPDRGPD
RGPDChris Gaillard
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
Lexing - Belgium
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnilMinistère de l'Économie et des Finances
 

More Related Content

What's hot

Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Pascal ALIX
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...EdPoliteia
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
Lexing - Belgium
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 

What's hot (20)

ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange Group
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...
 
RGPD
RGPDRGPD
RGPD
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 

Similar to Protection des données personnelles : le nouveau projet de règlement européen

[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnumFrenchTechCentral
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)AT Internet
 
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...Swiss Community Managers Association
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesExcelerate Systems
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3PRONETIS
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueJLCOLOMBANI
 
Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Hubert Herberstein
 
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...M2i Formation
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéAvignon Delta Numérique
 

Similar to Protection des données personnelles : le nouveau projet de règlement européen (20)

[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
[Webinar] Cybersécurité : Enjeux, menaces et bonnes pratiques @CNIL @CNnum
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Clémence Scottez (CNIL)
 
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
La perspective de l'employeur en lien avec l'usage des réseaux sociaux par le...
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données Privées
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
AppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatiqueAppréHensiondelaséCuritéInformatique
AppréHensiondelaséCuritéInformatique
 
Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1Club SI & digital les objets connectés 20150227 v1.1
Club SI & digital les objets connectés 20150227 v1.1
 
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNIL
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et liberté
 

More from Thiebaut Devergranne

The new data privacy regulation framework
The new data privacy regulation framework The new data privacy regulation framework
The new data privacy regulation framework Thiebaut Devergranne
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Thiebaut Devergranne
 
Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 €
Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 € Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 €
Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 € Thiebaut Devergranne
 
Insider attacks, lesson learned (cybercrime)
Insider attacks, lesson learned (cybercrime)Insider attacks, lesson learned (cybercrime)
Insider attacks, lesson learned (cybercrime)Thiebaut Devergranne
 
Les 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSILes 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSIThiebaut Devergranne
 

More from Thiebaut Devergranne (6)

Cnil déclaration simplifiée
Cnil déclaration simplifiéeCnil déclaration simplifiée
Cnil déclaration simplifiée
 
The new data privacy regulation framework
The new data privacy regulation framework The new data privacy regulation framework
The new data privacy regulation framework
 
Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?Et vous pensiez déposer plainte pour attaque informatique ?
Et vous pensiez déposer plainte pour attaque informatique ?
 
Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 €
Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 € Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 €
Déclaration CNIL : 15 minutes qui peuvent vous éviter 50.000 €
 
Insider attacks, lesson learned (cybercrime)
Insider attacks, lesson learned (cybercrime)Insider attacks, lesson learned (cybercrime)
Insider attacks, lesson learned (cybercrime)
 
Les 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSILes 5 clés de la responsabilité juridique du RSSI
Les 5 clés de la responsabilité juridique du RSSI
 

Protection des données personnelles : le nouveau projet de règlement européen

  • 1. CELUI QUI JONGLE AVEC LES DONNÉES PERSONNELLES… … fait bien de suivre l’évolution du projet de règlement européen ! Thiébaut DEVERGRANNE Docteur en droit Consultant Paris – 9 octobre 2012
  • 2. Celui qui jongle avec les données personnelles… 2 Qui suis-je ?  Consultant - droit des nouvelles technologies  +10 ans d’expérience, dont 6 pour les services du Premier ministre (SGDN/DCSSI) en qualité de conseil juridique  Docteur en droit privé sciences criminelles  Formation d’avocat (CAPA)  Passionné de nouvelles technologies - programmation / sysadmin depuis +15 ans http://www.donneespersonnelles.fr © T. Devergranne – td@hstd.net
  • 3. Celui qui jongle avec les données personnelles… 3 La protection des données personnelles en 2012 : un bilan très mitigé… © T. Devergranne – td@hstd.net
  • 4. Celui qui jongle avec les données personnelles… 4 La récurrence des atteintes de sécurité… © T. Devergranne – td@hstd.net
  • 5. Celui qui jongle avec les données personnelles… 5 Le régulateur réagit…
  • 6. Celui qui jongle avec les données personnelles… 6 Des changements nécessaires ! • La directive date de 1995… • L’objectif de la réforme est de simplifier et de renforcer les droits des citoyens • Nombreuses révolutions informatiques ont eu • Ex: droit à l’oubli, consentement au lieu ; impacts majeurs sur le traitement des traitement données personnelles : • Internet • Attention les principes posés par la directive ne • Réseaux sociaux sont pas remis en cause • Mobiles • Géolocalisation • Convaincre et s’imposer… • Biométrie • Cloud • SaaS, IaaS, Paas • … • Complexité également au niveau de l’adaptation de la directive : 27 pays européens, 27 transpositions…
  • 7. Celui qui jongle avec les données personnelles… 7 D’abord en prévoyant de réelles sanctions… Art. 79 - sanctions :  2% du CA global d’un groupe  1.000.000 euros A 2% annual turnover fine would have meant 1.2 Billion dollars in 2008 for a company like Microsoft ! http://www.donneespersonnelles.fr Effet de levier important, mais est-ce que la CNIL utilisera ces moyens à pleine capacité ?
  • 8. Celui qui jongle avec les données personnelles… 8 Un texte unique • 27 pays, un texte! • Directive vs règlement • Le règlement sera d’application directe • Comptoir unique • … mais un gros texte quand même… • +80 pages • Un peu moins de 100 articles • Des procédures complexes • Pour le PME : la digestion sera difficile • Le règlement sera d’application très large… Le présent règlement s'applique au traitement [réalisé par un] responsable du • Innovation très importante – art. 3 traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: • Toute personne traitant des données a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou personnelles d’un citoyen EU tombera sous le b) à l’observation de leur comportement. coup du texte © T. Devergranne – td@hstd.net
  • 9. Celui qui jongle avec les données personnelles… 9 Fini les déclarations ! • Vrai-Faux bénéfice : le responsable du traitement doit conserver une trace documentée de tous les traitements réalisés (art. 28) • La mesure est censée faire économiser 130 millions d’euros aux Etats (mais transfert de charge vers les entreprises…) • Cependant le responsable devra nommer un DPO, obligatoire dans 3 cas (art. 35) : • Pour toute autorité publique • Entreprises > 250 personnes • Quelques cas particuliers • Le DPO est indépendant et ne reçoit aucune instruction pour la conduite de sa mission © T. Devergranne – td@hstd.net
  • 10. Celui qui jongle avec les données personnelles… 10 Et bonjour la documentation… • Le responsable du traitement devra démontrer que la loi est bien respectée au sein de son organisation • Obligation de documentation • Obligation de réaliser une étude d’impact pour les traitements à risque (données sensibles, biométrie…) – art. 33 • Cette documentation pourra être vérifiée à tout moment par l’autorité nationale de contrôle, sous peine de sanctions © T. Devergranne – td@hstd.net
  • 11. Celui qui jongle avec les données personnelles… 11 Attention, les autorisations existent toujours… • Les autorisations restent en vigueur (art. 34) ! • L’autorité de contrôle établit une liste des traitements à risque nécessitant une autorisation • Le responsable du traitement devra fournir une étude d’impact – art. 33 • Cette étude d’impact doit être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes ; ex : • Données sensibles • Fichiers de grande ampleur concernant des enfants, des données génétiques, biométriques… © T. Devergranne – td@hstd.net
  • 12. Celui qui jongle avec les données personnelles… 12 De nouvelles obligations de sécurité… • L’évaluation des risques de sécurité est Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des maintenant explicite et obligatoire pour risques présentés par le traitement, pour préserver la sécurité des chaque traitement données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. • La Commission pourra préciser Art. 34 actuel : L’évaluation est implicite ! techniquement les mesures de sécurité à mettre en œuvre (IDS…) – art. 30.3 et 4 • L’obligation d’assurer la sécurité du À la suite d'une évaluation des risques, le responsable du traitement des données personnelles reste traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la pratiquement inchangée destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorisés, ou l'altération de données à caractère personnel. Art. 30.2 - Projet de règlement européen © T. Devergranne – td@hstd.net
  • 13. Celui qui jongle avec les données personnelles… 13 Et bienvenue à la nouvelle obligation de notification… Vivianne Reding, vice-présidente de la Commission : « J’ai l’intention d’introduire une obligation de notification de violation de sécurité des données à caractère personnel – la même que j’ai introduite pour les télécommunications et Internet quand j’étais Commissaire aux Telecoms, mais cette fois-ci pour tous les secteurs, incluant les banques et les services financiers », 20 juin 2011. © T. Devergranne – td@hstd.net
  • 14. Celui qui jongle avec les données personnelles… 14 Article 31  Projet de règlement européen 1. En cas de violation de données à caractère personnel, le  Extension de l’obligation actuelle de l’article 34 bis responsable du traitement en adresse notification à l'autorité de (OCE) contrôle sans retard injustifié et, si possible, 24 heures au plus  Notification à l’autorité de contrôle des violations de tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce données personnelles (art. 30) délai de 24 heures, la notification comporte une justification à cet  Concerne tout le monde, pas seulement les OCE égard.  « Sans retard injustifié » 2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant  « Si possible 24 heures au plus tard » alerte et informe le responsable du traitement immédiatement  Justification si +24h. après avoir constaté la violation de données à caractère personnel.  Attention : l’obligation concerne également les sous- 3. La notification visée au paragraphe 1 doit, à tout le moins: traitants a) décrire la nature de la violation de données à caractère  Le sous-traitant doit informer le responsable du personnel, y compris les catégories et le nombre de personnes traitement de toute violation qu’il connait concernées par la violation et les catégories et le nombre  La notification décrit d’enregistrements de données concernés;  Nature des données, nb personnes concernées b) communiquer l’identité et les coordonnées du délégué à la  Point de contact protection des données ou d'un autre point de contact auprès  Mesures d’atténuation duquel des informations supplémentaires peuvent être obtenues;  Conséquences de la violation c) recommander des mesures à prendre pour atténuer les  Mesures ayant été prises pour y remédier éventuelles conséquences négatives de la violation de données à  Qu’est-ce qu’une violation de sécurité ? caractère personnel;  Se définit comme « une violation de la sécurité entraînant de d) décrire les conséquences de la violation de données à caractère manière accidentelle ou illicite la destruction, la perte, personnel; l’altération, la divulgation ou la consultation non autorisées de DCP transmises, conservées ou traitées d’une autre manière ». e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère © T. Devergranne – td@hstd.net personnel.
  • 15. Celui qui jongle avec les données personnelles… 15 Article 31 (suite)  Projet de règlement européen Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures  Le responsable conserve une trace prises pour y remédier. La documentation constituée doit documentaire de toute violation permettre à l'autorité de contrôle de vérifier le respect des  Contexte dispositions du présent article. Elle comporte uniquement les  Effets informations nécessaires à cette fin.  Mesures mises en œuvre pour y remédier 5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les  Préparez-vous dès maintenant à… circonstances particulières dans lesquelles un responsable du  Tracer l’ensemble des incidents de sécurité traitement et un sous-traitant sont tenus de notifier la violation de dans votre organisation données à caractère personnel.  Exiger la même chose de vos sous-traitants 6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les  Commencez à réfléchir à… modalités selon lesquelles est constituée la documentation  Comment le faire en 24h… visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. © T. Devergranne – td@hstd.net
  • 16. Celui qui jongle avec les données personnelles… 16  Projet de règlement européen Art 32  Communication de la violation à la 1. Lorsque la violation de données à caractère personnel est susceptible de personne concernée porter atteinte à la protection des données à caractère personnel ou à la vie  Sans retard indu privée de la personne concernée, le responsable du traitement, après avoir  Description précise de la violation procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. 2. La communication à la personne concernée prévue au paragraphe 1  Dans certains cas, la communication décrit la nature de la violation des données à caractère personnel et peut être écartée avec l’aval de contient au moins les informations et recommandations prévues à l’article l’autorité nationale de contrôle 31, paragraphe 3, points b) et c).  Nécessite que les mesures de 3. La communication à la personne concernée d'une violation de ses protection soient mises en œuvre données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données  Commencez à réfléchir à… incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. 4. Sans préjudice de l’obligation du responsable du traitement de  L’impact d’une notification sur la continuité business communiquer à la personne concernée la violation de ses données à  Inclure la notification dans votre PSSI caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute. © T. Devergranne – td@hstd.net
  • 17. Celui qui jongle avec les données personnelles… 17 Il reste encore du chemin à faire… • Adoption vraisemblable du règlement entre 2014 et 2016 • Mais la proposition doit tout d’abord être acceptée par le Conseil et le Parlement Européen avant d’être adoptée • Attention toutefois à bien suivre l’évolution du projet qui risque de changer dans les années à venir ! © T. Devergranne – td@hstd.net
  • 18. Celui qui jongle avec les données personnelles… 18 Questions ? Thiébaut DEVERGRANNE Contact : td@hstd.net http://www.donneespersonnelles.fr