2. GRAPHICBULB
2
Jacques Folon, Ph.D.
Professor
Data Privacy Officer
GDPR Director
CEO
jacques.folon@ichec.belinkedin.com/in/folon
Trafic, Ichec, JPCR, Reflex, CMI,…
SPF Finances, Police fédérale,
CIRB, L’Oréal, Province de Hainaut,…
3. AGENDA GDPR
• Principes de base
• Vos questions dans le chat
• Questions de marketing digital
• Privacy Shield – décision de la CJUE
• Cookies
• Un exemple en interne: les RH
• Marketing direct
• Durée de conservation
• Deux exercices
• Debriefing et feed back
• SAV possible après le cours 👨🏼💻😊
16. Un petit
résumé
?
TERRITORIALSCOPE
Non-EUEstablishedOrganizations
Offer goods or ser vices or engaging in
monitoring within the EU.
PERSONALDATA SENSITIVEDATA
ENFORCEMENT
LAWFULPROCESSING
CONSENT
RESPONSIBILITIESOFDATACONTROLLERSANDPROCESSORS
RIGHTSOFDATASUBJECTS
Transparency
Purpose
Specificationand
Minimization
Access and
Rectification
Automated
Decision- Making
Rightto Data
Portability
Rightto
Erasure
DATABREACHNOTIFICATION
DataProtection
Officer (DPO)
Data
Protectionby
Design
INTERNATIONALDATATRANSFER
DataImpact
Assessment
Recordof Data
ProcessingActivities
THEPLAYERS
Data
Subjects
DataControllers
Data
Processors
Supervisory
Authorities
Identified Identifiable
Racial or
EthnicOrigin
Religious or
Philosophical
Beliefs
Health
Trade Union
Membership Sex
Life
Political
Opinions
Biometric
Data
Genetic
Data
“Right not to be subject to a
decision basedsolely on
automatedprocessing,
including profiling.”
Apersonal databreachis “abr each of
security leading to the accidental or
unlawful destr uction,loss,alter ation,
unauthorized disclosure of,or access
to,personal datatransmitted,storedor
otherwise processed.”
Collection and processing of per sonal datamust
be for “specified,explicit and legitimate purposes”
– withconsent of datasubject or necessar y for
Consent must be freely
given,specific,
infor med,and
unambiguous.
Model
Contractual
Clauses
Privacy
Shield
Binding
Corporate
Rules
(BCRs)
Adequate Level of
DataProtection
If likely to result in ahighprivacy r isk notify datasubjects
Notify super visory authorities no later
than 72hour s after discovery.
Upto 20 million euros or 4%of total annual worldwide
turnover . Less serious violations: Upto 10million
euros or 2%of total annual worldwide turnover.
EUEstablishments
Maintain adocumented
r egister of all activities
involving processing of EU
per sonal data.
built in starting at
the beginning of the
design process
Designate DPOif core
activity involves r egular
monitoring or processing
large quantities of
per sonal data..
For highr isk
situations
www.teachpr iv acy.com
GDPR
Workforce awareness trainingbyProf.Daniel J.Solove
• performance of a contr act
• compliance with alegal
obligation
• to pr otect aperson’s
vital interests
• taskin the public
interest
• legitimate inter ests
Effective Judicial Remedies:
compensation for mater ial and
non-material harm.
Fines
Security
Please askpermissionto reuse or distribute
17. B. LE GDPR C'EST (PAS BEAUCOUP) DU DROIT
DROIT
CONTRAT SOUS-TRAITANTS
PRIVACY POLICIES
RH
CONFIDENTIALITÉ
CODE DE CONDUITE
CHARTE INFORMATIQUE
INFORMATIQUE
PRIVACY BY DESIGN/DEFAULT
SECURITE DE L'INFORMATION
IAM
CODE DE CONDUITE ICT
DOCUMENTATION DES PROGRAMMES
DROIT D'ACCES
DROIT A L'OUBLI
CC81
ORGANISATION
ANALYSE DE RISQUES
ARCHIVAGE DIGITAL
GESTION DE PROJET
CHANGE MANAGEMENT
REGISTRE DE TRAITEMENT
COMMUNICATION DE CRISE (DATA BREACH)
FORMATION
18.
19. Historique
• 2015 première décision contre Safe
Harbour
• 2016 Début du Privacy shield
• 2020 Décision de la CJUE
• 2020 plainte contre 101 sociétés
européennes (en Belgique Bpost,
Roularta)
• Décision de l’EDPD de coordonner les
réponses des APD
• …
20. Décision de la CJUE concernant le PS
La Cour a également examiné la validité de la décision «bouclier de protection des données»
(décision 2016/1250 relative à l'adéquation de la protection fournie par le Privacy Shield UE-
États-Unis), puisque les transferts en question dans le contexte du litige national ayant conduit
à la demande d'une décision préjudicielle ont été réalisés entre l'UE et les États-Unis. La Cour a
considéré que les exigences de la législation nationale des États-Unis, et notamment certains
programmes autorisant les organismes du secteur public d'accéder à des données à caractère
personnel transférées de l'UE vers les États-Unis à des fins de sécurité nationale, entraînent
des restrictions en matière de protection des données à caractère personnel qui ne sont pas
circonscrites de manière à être conformes aux exigences substantiellement équivalentes aux
exigences requises en vertu du droit de l'Union , et que cette législation ne confère aux
personnes concernées aucun droit d'action devant les tribunaux contre les autorités
américaines. En conséquence d'un tel degré d'interférence avec les droits fondamentaux des
personnes dont les données sont transférées vers ce pays tiers,
la Cour a invalidé la décision d’adéquation du bouclier de protection des données.
22. Avons du temps?
Existe-t-il une période de grâce pendant laquelle je
peux continuer à transférer des données vers les
États-Unis sans avoir à évaluer ma base juridique
du transfert?
Non
La Cour a invalidé la décision «bouclier de
protection des données» sans en maintenir les
effets, car le droit américain évalué par la Cour ne
fournit pas un niveau de protection
substantiellement équivalent à celui de l'UE. Cette
évaluation doit être prise en compte pour tout
transfert effectué vers les États-Unis.
25. Clauses
contractuelles
types
• La Cour a conclu que le droit des États-Unis ne garantit pas un niveau de
protection substantiellement équivalent.
• La possibilité de transférer ou non des données à caractère personnel sur la base
de clauses contractuelles types dépendra du résultat de votre évaluation, en
tenant compte des circonstances des transferts, et des mesures supplémentaires
que vous pourriez mettre en place.
• Les mesures supplémentaires ainsi que les clauses contractuelles types émergeant
d'une analyse au cas par cas des circonstances relatives au transfert doivent
assurer que le droit des États-Unis n'affecte pas le niveau de protection adéquat
qu'elles garantissent.
• Si vous en arrivez à la conclusion que, compte tenu des circonstances du transfert
et des éventuelles mesures supplémentaires, les garanties appropriées ne
seraient pas garanties, vous êtes tenu de suspendre ou de mettre fin au transfert
de données à caractère personnel.
• Toutefois, si vous avez l'intention de continuer à transférer des données malgré
cette conclusion, vous devez en informer l'autorité de contrôle dont vous relevez .
• Source EDPB
26. DONC
Le droit américain ne
garantit pas le niveau
de sécurité suffisant
Par conséquent les
clauses types ne sont
plus possibles
Vous pouvez essayer en
contactant l’APD…
27. CONSENTEMENT ? => NON
Il convient notamment de rappeler que, lorsque les
transferts sont fondés sur le consentement de la
personne concernée, ledit consentement doit être:
explicite, spécifiquement donné pour le transfert
ou l’ensemble de transferts de données en
question (ce qui signifie que l'exportateur de
données doit s'assurer d'obtenir un consentement
spécifique avant la mise en place du transfert,
même si cela se produit après la collecte des
données), et éclairé, en particulier en ce qui
concerne les éventuels risques du transfert
(autrement dit, la personne concernée doit
également être informée des risques spécifiques
résultant du fait que ses données seront
transférées vers un pays qui ne fournit pas une
protection adéquate et qu'aucune garantie
appropriée visant à protéger les données n'est
mise en œuvre).
29. Binding corporate rules
• La possibilité de transférer ou non des données
à caractère personnel sur la base de BCR
dépendra du résultat de votre évaluation, en
tenant compte des circonstances des transferts,
et des mesures supplémentaires que vous
pourriez mettre en place. Ces mesures
supplémentaires ainsi que les BCR émergeant
d'une analyse au cas par cas des circonstances
relatives au transfert, doivent assurer que le
droit des États-Unis n'affecte pas le niveau de
protection adéquat qu'elles garantissent.
30. Intérêt public
• En ce qui concerne les transferts nécessaires pour des motifs
importants d’intérêt public (qui doivent être reconnus par le droit
de l’UE ou des États membres ), le comité européen de la
protection des données rappelle que l'exigence essentielle pour
l'applicabilité de cette dérogation consiste à constater un intérêt
public important et ne réside pas dans la nature de l'organisation,
et bien que cette dérogation ne se limite pas aux transferts de
données «occasionnels», cela ne signifie pas que les transferts de
données effectués sur la base de la dérogation d'intérêt public
important peuvent être réalisés à grande échelle et de manière
systématique. Au contraire, il convient de respecter le principe
général selon lequel les dérogations prévues à l'article 49 du RGPD
ne doivent pas devenir «la règle» en pratique, mais qu'elles doivent
se limiter à des situations spécifiques, et que chaque exportateur
de données doit s'assurer que le transfert répond au critère de
stricte nécessité.
31. Article 49
• Si c’est occasionnel …
• En ce qui concerne les transferts nécessaires à
l'exécution d'un contrat entre la personne
concernée et le responsable du traitement, il
convient de garder à l'esprit que les données à
caractère personnel peuvent être transférées à
condition que le transfert soit occasionnel.
34. Arrêt Planet 49
• Les cases pré-cochées et le regroupement des objectifs de
collecte de données sont interdits pour recueillir un
consentement valable, qu'ils soient utilisés pour accéder à des
données personnelles ou non personnelles. En outre, les
utilisateurs doivent être informés de la date d'expiration des
cookies, ainsi que de la possibilité pour les tiers de lire ou
d'installer des cookies sur le site web, avant de pouvoir
donner leur consentement.
• La CJUE a également exprimé qu'un "comportement actif avec
une vision claire" du consentement est nécessaire pour recueillir
un consentement valable, ce qui devrait effectivement mettre fin
à l'utilisation du scrolling ou de la navigation continue comme
mode de consentement.
48. Source: https://www.droit-technologie.org/actualites/combien-de-temps-peut-on-conserver-des-donnees-personnelles/
• La CNIL distingue dans son guide, trois étapes du cycle de vie de la donnée personnelle :
• L’utilisation courante (« base active ») : c’est la durée nécessaire à la réalisation de
l’objectif (finalité du traitement) qui a justifié la collecte des données.
• L’archivage intermédiaire : les données personnelles ne sont plus utilisées pour atteindre
l’objectif fixé (dossiers clos) mais présentent encore un intérêt administratif pour
l’organisme (par exemple : gestion d’un éventuel contentieux, etc.) ou doivent être
conservées pour répondre à une obligation légale (par exemple : les données de
facturation doivent être conservées dix ans en application du code de commerce, même
si la personne concernée n’est plus cliente). Les données peuvent alors être consultées
de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
• L’archivage définitif : en raison de leur valeur et intérêt, certaines informations sont
archivées sans limitation de durée. Pour la CNIL, cette phase concerne essentiellement
les traitements mis en œuvre à des fins archivistiques dans l’intérêt public et concerne
donc principalement le secteur public.
• La CNIL rappelle que par principe, les données doivent être effacées à l’issue de
l’utilisation courante, qui correspond à la durée nécessaire à l’objectif du traitement.
• Elle nuance cependant : cette règle n’implique pas de supprimer les données
systématiquement et en toutes circonstances. En effet, une donnée personnelle obéit à
un cycle de vie durant lequel une même donnée peut avoir plusieurs utilités successives.
Cela signifie que, pour chacune de ces utilités, une durée différente peut s’appliquer
49. Sources utiles
• Privacy shield
• Décision de la CJUE
http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageInd
ex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=9758224
• Faq de l’EDPB
• https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_a
dopted_fr.pdf
• Référentiel RH de la CNIL
• https://www.cnil.fr/sites/default/files/atoms/files/referentiel_grh_novembre_2019_
0.pdf
• Lignes directrices sur le consentement (et cookies)
• https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consen
t_en.pdf
• Marketing direct
• https://autoriteprotectiondonnees.be/publications/recommandation-n-01-2020.pdf