Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

3

Share

Download to read offline

SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Privacy

Download to read offline

Conférence : SEARCH Y PARIS 2019
Speaker : Me Stéphanie SIOËN-GALLINA, SSG AVOCATS
Le Search, l'impact du RGPD et l'e-Privacy

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

SEARCH Y - Me Stéphane SIOEN-GALLINA - Le Search, l'impact du RGPD et l'e-Privacy

  1. 1. Le Search, l’impact du RGPD et l’e- Privacy Me Stéphanie SIOËN-GALLINA
  2. 2. I. QUELQUES CHIFFRES 8 MOIS APRES L’ENTREE EN VIGUEUR DU RGPD
  3. 3. Du côté de la CNIL Source CNIL :Notifications collectées entre mai et octobre 2018
  4. 4. Du côté de la CNIL 6.000 plaintes reçues 15.000 DPO désignés (contre 5.000 CIL) Plaintes collectives déposées par 3 organismes Plus de 1.200 violations de données enregistrées + 64 % de plaintes de particuliers Source CNIL En octobre, 33 millions de personnes concernées par les 742 notifications
  5. 5. Du côté des entreprises Un exemple: l’exercice du droit d’accès des personnes physiques Source www.freebip.com Etude Misakey Oct./Nov.2018 sur 439164 sites 83% 1% 16% pas en mesure de répondre En mesure de répondre ont un mail non fonctionnel
  6. 6. Du côté des entreprises 10.051 des entreprises contactées ont un courriel dédié 22,5% sont joignables 77,5% ne sont pas joignables 5,5% refusent de répondre 17% répondent positivement
  7. 7. II. LES GRANDS PRINCIPES
  8. 8. • Limitation du traitement • Minimisation • Licéité, loyauté et transparence • Exactitude • Limitation de la conservation • Sécurité • Droit des personnes: information, consentement, droit d’accès, de rectification, d’opposition, de limitation, d’effacement, de portabilité • Accountability
  9. 9. III. SOUS-TRAITANT
  10. 10. Responsable de traitement • Pouvoir décisionnel sur la détermination • De la finalité • Et des moyens (essentiels) Responsable conjoint de traitement • Ils déterminent ensemble tout ou partie des finalités • Et/ou tout ou partie des moyens Sous-traitant • Opérations réalisées pour le compte du RT • Absence d’autonomie • A l’exception des moyens non essentiels
  11. 11. A. Nouvelles obligations et augmentation de la responsabilité du sous-traitant Sous- traitant Tenue d’un registre Sanction possible du ST par la CNIL Mise en cause de la responsabilité du ST par la personne concernée Obligation d’information du RT en cas de violation de données Obligation d’information si une instruction du RT est une violation du RGPD Preuve au RT que les conditions de mise en œuvre du traitement sont conformes au RGPD Assistance du RT en cas de PIA
  12. 12. Nécessité d’un écrit  Nature du traitement  Durée  Finalité(s)  Le type de données  Les catégories de personnes  Autorisation générale ou spécifique de faire appel à un autre ST  Le ST initial est responsable du ST ultérieur  Le ST ultérieur doit respecter les obligations du contrat entre le RT et le ST  Droit d’information des personnes concernées par le RT ou le ST  Notification des violations de données par le RT ou le ST  Réponse aux demandes d’exercice de leurs droits par le RT ou le ST  Le sort des données au terme du contrat (suppression et/ou réversibilité)  Certification possible du ST
  13. 13. B. Le sous-traitant peut devenir responsable conjoint de traitement  Si le ST outrepasse son mandat  Et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement,  La requalification peut être judiciaire ou par contrat o Liberté de paramétrer la cible de l’audience? o Liberté de paramétrer les catégories de données personnelles?  Conséquences: o Responsable solidaire avec le RT « déclaré » vis-à-vis des personnes concernées. La personne concernée a le choix de s’adresser et/ou d’agir à l’encontre du RT de son choix o La personne concernée peut demander à l’un ou l’autre des RT la réparation de son dommage dans sa totalité o Contractuellement, prévoir les obligations respectives, le contact pour l’exercice des droits des personnes concernées, procédure etc.
  14. 14. C. Relations entre sous-traitants Le Sous-traitant « premier » est responsable des outils qu’il choisit et donc par voie de conséquence de sous-traitants éditant ces outils. - Les outils qu’il choisit doivent être en conformité avec le RGPD - Cela signifie qu’il faut que les outils prennent en compte le Privacy by design et le Privacy by default - Il doit s’assurer que l’outil répond aux conditions et instructions du RT - Il faut préciser dans les contrats les exigences concrètes et précises de la forme dans laquelle le consentement de l’utilisateur, le cas échéant, doit être accueilli.
  15. 15. Exemples EX.: Google analytics 1. La durée de conservation Google Analytics donne la possibilité de choisir entre différentes durées de conservation des cookies: - 14 mois - 26 mois - 38 mois - 50 mois - Aucune expiration automatique Or, la durée de conservation d’un cookie permettant la traçabilité de la personne ou d’une adresse IP est de 13 mois. Un visiteur inactif durant 3 ans doit être supprimé ou inscrit dans une liste d’opposition. Force est de constater que Google Analytics ne vous permet pas de respecter le RGPD.
  16. 16. Exemples EX.: Google analytics Privacy by design et Privacy by default (considérant 78 et art.25.2 du RGPD) Protection des données dès la conception et notamment: - Réduire au minimum le traitement des données - Permettre la pseudonymisation voire l’anonymisation - Assurer la transparence concernant les fonctions et le traitement Le choix de la durée de conservation n’est pas conforme au RGPD.
  17. 17. Exemples EX.: Google analytics 2. Anonymisation de l’adresse IP, vous en êtes certain? Google Analytics a mis en place un process d’anonymisation de l’adresse IP en vous permettant de supprimer le dernier octet. Rappel du principe de l’anonymisation au regard du RGPD Considérant 26: « il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable,(…) de telle manière que la personne concernée ne soit pas ou plus identifiable » « Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable de traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage »
  18. 18. Exemples EX.: Google analytics Le G29 et la CNIL dans sa recommandation de décembre 2013 prévoient que pour être dispensé du recueil du consentement, les 2 derniers octets de l’adresse IP doivent être supprimés. Or, en indiquant que l’adresse IP serait anonymisée du fait de la suppression du dernier octet, cela induit en erreur les « partenaires » de Google Analytics. Cela ne répond pas aux recommandations de la CNIL d’une part, et cela ne répond pas à la définition du RGPD de l’anonymisation, d’autre part. En effet, comme le répète la CNIL, l’anonymisation est quasiment impossible au regard de toutes les données qui peuvent être croisées.
  19. 19. Exemples EX.: Google analytics Conséquences: Le RGPD s’applique ! Il faut donc notamment délivrer une information claire et transparente à l’utilisateur et obtenir le consentement de la personne concernée. En tout état de cause, si l’anonymisation est faite après la collecte, l’information est obligatoire. En effet, pour être dispensé de l’obtention du consentement (mais pas de l’information), il faut: - Délivrer une information claire et complète - Un mécanisme d’opposition accessible simplement, utilisable sur tous les navigateurs et terminaux - Les données ne doivent pas être recoupées avec d’autres traitements - Le cookie déposé doit servir uniquement à la production de statistiques anonymes - Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites - L’adresse IP ne doit pas permettre de localiser plus que la ville (suppression des 2 derniers octets) - Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservées plus de 13 mois - Les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois
  20. 20. D. Rappel des règles en matières de cookies  Les cookies strictement techniques ne nécessitent pas le consentement de l’utilisateur mais ce dernier doit bénéficier d’une information claire et transparente.  Les cookies non techniques c’est-à-dire notamment publicitaires qu’il soient déposés par l’éditeur du site ou un tiers doivent être acceptés par l’utilisateur avant le dépôt des cookies. Attention: les obligations s’appliquent que les cookies collectent des données personnelles ou non (protection du terminal)
  21. 21. Le client est RT pour les cookies déposés par des tiers CE 6 juin 2018, 10ème et 9ème chambres réunies, n°412589  Point 11: « Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de « cookies » mis en place pour son compte. Les autres tiers qui déposent des « cookies » à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le cookie notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements » Attention aux instructions du client.
  22. 22. Base légale de dépôt de cookie publicitaire CE 6 juin 2018, 10ème et 9ème chambres réunies, n°412589  Point 7: « Le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme strictement nécessaire à la fourniture du service de communication en ligne » Solution attendue! Délibération n° MED 2018-342 du 30 oct. 2018 Rappel de la loi : le traitement de données issues des cookies à des fins publicitaires ne peut être licite que si l’utilisateur a donné son consentement ou l’une des conditions suivantes est remplie: o Respect d’une obligation légale o Sauvegarde de la vie de la personne concernée o Contrat o Mission de service public o Réalisation d’un intérêt légitime
  23. 23. Base légale de dépôt de cookie publicitaire: le consentement « Afin d’améliorer notre application et vous adresser du contenu et/ou des offres commerciales personnalisées, nos partenaires et nous-mêmes collectons vos données personnelles comme vos données de navigation ou votre position géographique. Cela nous permet également de vous offrir un accès gratuit à notre service et nous nous engageons à diffuser des publicités dont les formats sont non intrusifs. En acceptant, vous consentez à ce que nos partenaires et nous-mêmes puissions collecter et traiter vos données personnelles à des fins d’analyse et de publicité. Vous pouvez changer vos paramètres de confidentialité à tout moment depuis les réglages de l’application ». L’utilisateur se voyait ensuite proposer un choix entre j’accepte, je refuse et j’affine mes préférences. Décision de la CNIL • Le consentement n’est pas informé • Le consentement n’est pas spécifique • Le consentement n’est pas exprimé par une action positive
  24. 24. Délibération 8 oct. 2018 n°2018-043 Collecte de données de géolocalisation à l’aide d’un SDK qui sont ensuite croisées avec les points d’intérêts. Décision de la CNIL • Pas de base légale: aucun mécanisme mis en place lors du téléchargement de l’application pour consentir au traitement • Aucune information sur la collecte des données de géolocalisation aux fins de profilage et de ciblage publicitaire • Clause dans les contrats entre le RT et ses partenaires imprécises • Le fait d’imposer que son nom soit indiqué dans la liste des partenaires est insuffisante (manquent la base légale, la finalité du traitement et les droits de la personne) • Informations sur plusieurs finalités qui n’ont rien à voir entre elles mais seule possibilité pour l’utilisateur de tout accepter en « bloc ». • « J’accepte ou plus tard »: « Aucune de ces options ne lui propose clairement de refuser la collecte et le traitement de ses données (…) »
  25. 25. III. ET MAINTENANT LE REGLEMENT E-PRIVACY
  26. 26. A. Champs d’application matériel et territorial E-Privacy s’applique aux données de communication c’est-à-dire le contenu et les métadonnées. Contenu: contenu échangé au moyen de services de communications électroniques notamment sous forme de texte, de voix, de documents vidéos, d’images et de sons. Métadonnées: données traitées pour la transmission, la distribution ou l’échange de contenu y compris les données permettant de retracer une communication et d’en déterminer l’origine et la distribution ainsi que les données relatives à la localisation de l’appareil produit dans le cadre de la fourniture de services de communications électroniques et la date, heure, durée et le type de communication.
  27. 27. A. Champs d’application matériel et territorial E-Privacy s’applique à : - La fourniture et l’utilisation de services de communications électroniques dans l’UE ( Art. 2.1) - Aux informations liées aux équipements terminaux des utilisateurs finaux (Art. 2.1) L’e-Privacy étend le champ d’application de la confidentialité des données à l’ensemble des prestataires de service en ligne, Concernent: • Les FAI (c’était déjà le cas avant) • Les services OTT (Over the top) comme skype®, Facebook Messenger®, WhatsApp® • Les bornes wifi • Internet of things
  28. 28. A. Champs d’application matériel et territorial Nouveautés: L’utilisateur final est toute personne physique ou morale utilisant ou demandant un service de communication électronique au public. Considérant 18: « Aux fins du présent règlement, le consentement de l’utilisateur final, que celui-ci soit une personne physique ou morale , devrait avoir le même sens et être soumis aux mêmes conditions que le consentement de la personne concernée en vertu du » RGPD. Le consentement d’une personne morale doit donc être libre, éclairé, univoque. Proposition de la commission de centraliser le consentement des utilisateurs au moyen de paramètres de confidentialité de leur navigateur internet.
  29. 29. A. Champs d’application matériel et territorial Application du RGPD:  Entreprise ou établissement situé dans l’UE  Si les utilisateurs finaux sont situés dans l’UE même si entreprise est située hors de l’UE  Données de communications électroniques traitées en relation avec fourniture et utilisation de services de communications électroniques dans l’UE, même si traitement est effectué hors UE Objectif: Assurer la protection la plus efficace pour les utilisateurs européens Conforme avec le champs d’application territorial du RGPD
  30. 30. RESUME  Toutes les informations relatives à l’utilisation du terminal font partie de la sphère privée protection renforcée par l’e-Privacy  Tout ce qui n’est pas expressément autorisé par le Règlement est nécessairement interdit.
  31. 31. B. Traitement autorisé des données de communications électroniques  Traitement des données de communications électroniques par les fournisseurs de réseaux et de services de communications électroniques si nécessaire pour: o Assurer la communication pendant la durée nécessaire o Maintenir ou rétablir la sécurité des réseaux  Traitement des métadonnées par fournisseurs de services de communications électroniques si: o Nécessaire pour assurer la qualité de service o Nécessaire pour facturer o Si consentement de l’utilisateur final pour un ou plusieurs objectifs précis, dont la fourniture de services spécifiques à son endroit à condition que le traitement d’informations anonymisées ne permette pas d’atteindre lesdits objectifs.
  32. 32. Traitement autorisé des données de communications électroniques  Traitement du contenu des communications électroniques par les fournisseurs de services de communications électroniques si : o Pour fournir un service spécifique à un utilisateur final avec son consentement et si fourniture de ce service ne peut être assurée sans traiter ce contenu o Si consentement de tous les utilisateurs finaux pour un ou plusieurs objectifs spécifiques que le traitement d’informations anonymisées ne permet pas d’atteindre et si le fournisseur a consulté l’autorité de contrôle.
  33. 33. C. Collecte d’informations du terminal (art. 8)  Interdiction collecte d’informations provenant du terminal (cookies) sauf par l’utilisateur et pour l’un des 4 motifs suivants: o Nécessaire pour assurer une communication électronique dans un réseau de communication électronique o Si l’utilisateur a donné son consentement o Nécessaire pour fournir un service de la société demandé par l’utilisateur final o Nécessaire pour mesurer des résultats d’audience du web, à condition que ce mesurage soit effectué par le fournisseur de service de la société de l’information demandé par l’utilisateur final  Interdiction de la collecte d’informations émises par le terminal pour permettre sa connexion à un autre dispositif ou à un équipement de réseau sauf si: o But d’établir une connexion et pendant la durée nécessaire o Message clair et bien visible affiché avec modalités, finalité de la collecte, identité de la personne responsable… sous couvert d’en assurer la sécurité
  34. 34. D. PROSPECTION DIRECTE (art.16) Prospection directe par p.p. ou p. mo Avec consentement et information sur la nature commerciale Personne physique Consentement conforme à l’art.4.11 et l’art. 7 du RGPD Manifestation de volonté, libre, spécifique, éclairée et univoque Forme compréhensible, aisément accessible Pas de case pré- cochée Pas de consentement en cas de silence, d’inactivité Droit de retrait à tout moment et sans frais avec un rappel tous les 6 mois (art.9.3 e-Privacy)
  35. 35. Obtention coordonnées électroniques lors d’une vente  Possible prospection directe pour: o Des produits ou services analogues o Fournis par la p.p. ou p. mo. uniquement o Si le client peut s’opposer sans frais et simplement à une telle exploitation de ses coordonnées o Le droit d’opposition est donné au moment de la collecte des coordonnées électroniques et dans chaque message Ces conditions sont cumulatives.  Balance entre les intérêts légitimes des p. mo. (utilisateurs finaux) et les communications non sollicitées
  36. 36. RESUME  Consentement explicite et préalable pour le dépôt de cookies de tracking à des fins publicitaires  Consentement explicite lors de l’installation de l’application pour suivre son activité en ligne à des fins publicitaires
  37. 37. SANCTIONS Cela dépend des violations:  Manquement à l’art. 8 (protection informations stockées dans le terminal) ou l’art. 16 (prospection directe) 10.000.000 euros ou 2% du CA annuel de l’exercice précédent au niveau mondial (pour les entreprises)  Violations de l’obligation de confidentialité des communications, du traitement autorisé de communications électroniques et des délais d’effacement (art.5, 6 et 7) 20.000.000 euros ou 4% du CA annuel de l’exercice précédent au niveau mondial (pour les entreprises)
  38. 38. PARIS 2019 Disney’s Newport Bay Club® CONTACT 18 Janvier, 2019 stephaniesioen@sioen.fr Téléphone: 04.96.11.05.30 stephanie-sioën-gallina
  • VictorDeCARVALHO1

    Feb. 29, 2020
  • uqy3kre

    Feb. 11, 2020
  • ThierryMottin

    Jun. 10, 2019

Conférence : SEARCH Y PARIS 2019 Speaker : Me Stéphanie SIOËN-GALLINA, SSG AVOCATS Le Search, l'impact du RGPD et l'e-Privacy

Views

Total views

1,365

On Slideshare

0

From embeds

0

Number of embeds

354

Actions

Downloads

60

Shares

0

Comments

0

Likes

3

×