Mais conteúdo relacionado Semelhante a Présentation de Stéphanie Foulgoc (20) Mais de AssociationAF (20) Présentation de Stéphanie Foulgoc1. 24 rue Erlanger, 75016 Paris
Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com
www.feral-avocats.com
RGPD
Les nouvelles règles sur les données
30 mars 2018
Stéphanie Foulgoc
Avocate aux barreaux de Paris et du Québec
2. France : loi informatique et libertés du 6 janv. 1978 modifiée en 2004
et en 2016
Union européenne : directive n°95/46/CE (transposée dans chaque
Etat membre). Abrogée par le RGPD
Règlement européen général sur la protection des données ou
RGPD (2016/679) du 27 avril 2016
• Issu d’actions de lobbying sans précédent pendant 6 ans
• 173 considérants, 99 articles
• Entrée en vigueur au 25 mai 2018
• Est-ce que ce texte est satisfaisant?
© Féral-Schuhl / Sainte-Marie
Protection des données personnelles :
Etat des lieux de la réglementation
3. Une quinzaine de sujets qui doivent faire l’objet d’actes d’application
au niveau européen ou national
Au niveau national :
• pour les données biométrique, génétique et les données de santé
• pour consultation préalable des autorités de contrôle pour les traitements
qui relève d’une mission de service public
• pour les pouvoirs des autorités de contrôle
• pour le régime des sanctions autre que les amendes administratives
• pour la conciliation avec la liberté d’expression et la liberté d’information
• sur le NIR
• sur les données traitées dans le cadre des relations de travail
• sur les personnes soumises à des obligations de secret
• sur le traitement des données de mineurs
© Féral-Schuhl / Sainte-Marie
Le RGPD n’est qu’un début…
4. Une quinzaine de sujets qui doivent faire l’objet d’actes
d’application au niveau européen ou national
Au niveau européen :
• Pour l’adoption des codes de conduite
• Pour les décisions d’adéquation
• Pour le BCR
• Pour la coopération entre les autorités de contrôle
• Pour l’échange d’information entre les autorités de contrôle
• Pour la représentation des personnes devant l’autorité de contrôle
• Pour la délivrance des certifications
Constat:
– Peu probable que l’objectif d’harmonisation soit atteint
– Primauté du droit européen, mais pas d’abrogation automatique du droit
national Complexité de la cohabitation des textes et difficultés
d’interprétation.
© Féral-Schuhl / Sainte-Marie
Le RGPD n’est qu’un début…
5. Les principes de la loi de 1978
restent inchangés dans le RGPD
Traitement / Données / Responsable de traitements /
Sous-traitant
Information / consentement des intéressés
Finalité licite / pertinence des données collectées
Droit des personnes : accès, rectification, suppression
Durée de conservation
Sécurité des données
Transfert des données à l’étranger
6. Mais des réalités techniques largement
ignorées par le RGPD
Cloud computing ignoré : une gestion du transfert des
données hors de l’U.E. comme en 1995…
Relations entre fournisseurs et clients : le sous-traitant
est souvent plus puissant que le responsable du
traitement
Mythe de l’audit et du contrat et de l’audit dans les
rapports responsable de traitements / sous-traitant
Réalité de la sécurité des systèmes d’information
7. Nouvelles règles
« Accountability » vs « formalités préalables »
Protection des données dès la conception (« privacy by
design ») / (« privacy by default »)
La réalisation d’analyses d’impact
La notification des violations de données personnelles à
l’autorité de contrôle)
La nomination d’un DPO
Mettre en place et tenir à jour le registre des traitements
Revoir la gestion de ses sous-traitants (fournisseurs)
Sanctions considérablement augmentées (20 millions
d’euros ou 4% du Chiffre d’affaires annuel mondial)
8. Le RGPD : les définitions
Traitement
o Toute opération ou tout ensemble d’opérations effectuées ou non à
l’aide de procédés automatisés et appliquées à des données ou des
ensembles de données, telles que la collecte, l’enregistrement,
l’organisation, la structuration, la conservation, l’adaptation ou la
modification, l’extraction, la consultation, l’utilisation, la communication
par transmission, la diffusion ou toute autre forme de mise à disposition,
le rapprochement ou l’interconnexion, la limitation, l’effacement ou la
destruction (art. 4.2)
Données à caractère personnel
o Toute information se rapportant à une personne physique identifiée ou
identifiable ; est réputée identifiable une personne physique qui peut
être identifiée, directement ou indirectement, notamment par référence
à un identifiant, tel qu’un nom, un numéro d’identification, des données
de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale (art. 4.1)
© Feral-Schuhl / Sainte-Marie Avocats
9. Le RGPD : champs d’application
Les archives privées et publiques directement
concernées lorsqu’elles contiennent des données à
caractère personnel:
Ensemble des documents, y compris les données, quels que
soient leur date, leur lieu de conservation, leur forme et leur
support, produits ou reçus par toute personne physique ou
morale et par tout service ou organisme public ou privé dans
l'exercice de leur activité (art. L. 211-1, Code du Patrimoine)
© Feral-Schuhl / Sainte-Marie Avocats
10. Le RGPD : identification des acteurs concernés
Responsable de traitement
• La personne physique ou morale, l’autorité publique, le service ou tout
autre organisme qui, seul ou conjointement avec d’autres, détermine les
finalités et les moyens du traitement ; … (art. 4.7)
Sous-traitant
• La personne physique ou morale, l’autorité publique, le service ou tout
autre organisme qui traite les données pour le compte du responsable
de traitement (art. 4.8)
Responsables conjoints de traitement
• Lorsque deux responsables de traitement ou plus déterminent
conjointement les finalités et les moyens du traitement (art. 26.1)
© Feral-Schuhl / Sainte-Marie Avocats
11. Le RGPD : les principes relatifs au traitement
Licéité, loyauté, transparence
Nouvelle notion limitation des finalités : les données
doivent être collectées pour des finalités déterminées,
explicites et légitimes et ne pas être traitées
ultérieurement d’une manière incompatible avec ces
finalités
Nouvelle notion minimisation des données : les
données doivent être adéquates, pertinentes et limitées
à ce qui est nécessaire au regard des finalités pour
lesquelles elles sont traitées
© Feral-Schuhl / Sainte-Marie Avocats
12. Le RGPD : les principes relatifs au traitement
Exactitude : les données doivent être exactes et, si
nécessaire, tenues à jour
Limitation de la durée de conservation : les données
doivent être conservées sous une forme permettant
l’identification des personnes concernées pendant une
durée n’excédant pas celle nécessaire au regard des
finalités pour lesquelles elles sont traitées
© Feral-Schuhl / Sainte-Marie Avocats
13. Le RGPD : les principes relatifs au traitement
Consentement au traitement
Traitement nécessaire à l’exécution d’un contrat
Traitement nécessaire au respect d’une obligation légale
RGPD et archivage : des objectifs contradictoires
© Feral-Schuhl / Sainte-Marie Avocats
14. Protection des données personnelles & Archives
Archives / Protection des données personnelles : des
contradictions apparentes
Articulation par le Code du Patrimoine :
Lorsque les archives publiques comportent des données à caractère
personnel collectées dans le cadre de traitements régis par la loi n°78-
17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, ces données font l'objet, à l'expiration de la durée prévue au
5°de l'article 6 de ladite loi, d'une sélection pour déterminer les
données destinées à être conservées et celles, dépourvues d'utilité
administrative ou d'intérêt scientifique, statistique ou historique,
destinées à être éliminées (art. L. 212-3).
15. RGPD & Archives
Dérogations prévues par le RGPD au bénéfice des
archives
Consacre un article aux archives : art. 89
Vise les traitements « à des fins archivistiques dans l'intérêt
public, à des fins de recherche scientifique ou historique, ou à
des fins statistiques »
• Prévoir des garanties appropriées des droits et libertés de la
personne concernée
• Possibles dérogations à l’exercice des droits des personnes
dans le droit de l’UE ou droit des EM
© Feral-Schuhl / Sainte-Marie Avocats
1
2
16. RGPD & Archives
Soumission des traitements à des garanties appropriées
pour les droits et libertés de la personne concernée
Comment ?
Mise en place de mesures techniques et
organisationnelles :
• Pour assurer la minimisation
• Peuvent comprendre la pseudonymisation, dans la
mesure où les finalités du traitement peuvent être
atteintes de cette manière.
© Feral-Schuhl / Sainte-Marie Avocats
1
17. RGPD & Archives
Dérogations possibles aux droits des personnes à prévoir
dans le droit de l’UE ou droit national :
• Pour traitement de données à des fins de recherche
scientifique ou historique ou à des fins statistiques
o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16),
limitation (art. 18), opposition (art. 21)
• Pour traitement de données à des fins archivistiques dans
l’intérêt public :
o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16),
limitation (art. 18), droit de notification (art. 19), droit d’opposition
(art. 21) et droit à la portabilité (art. 20)
© Feral-Schuhl / Sainte-Marie Avocats
2
18. RGPD & Archives
Autres dérogations :
Autorisation des traitements sur des catégories
particulières de données personnelles (art. 9, j)
Droit à l’information (art. 14)
Droit à l’oubli (art. 17)
Archives dans l'intérêt public, à des fins de recherche scientifique ou
historique ou à des fins statistiques
sous réserve des conditions et garanties visées à l'article 89
© Feral-Schuhl / Sainte-Marie Avocats
19. RGPD & Archives
Une articulation incomplète
• Archives visées par les dérogations (ie archives dans l’intérêt
public, à des fins de recherche scientifique ou historique ou à des fins
statistiques ) :
o Quid du consentement ?
Le traitement nécessaire à l'exécution d'une mission d'intérêt public ou
relevant de l'exercice de l'autorité publique dont est investi le
responsable du traitement ? (art. 6)
o Anonymisation ? Pseudonymisation ?
• Archives publiques non visées soumission totale au
RGPD
• Archives privées non visées soumission totale au RGPD
© Feral-Schuhl / Sainte-Marie Avocats
20. Projet de loi relatif à la protection des données
personnelles – décembre 2017
• Adopté par l’Assemblée nationale : 13 février 2018
• Adopté par le Sénat : 21 mars 2018
Lecture et articulation très complexe
Article 12 modifie l’article 36 de la loi Informatique et
Libertés
© Féral-Schuhl / Sainte-Marie
RGPD – Transposition en droit national
21. Article 12 du projet de loi
• Traitements de données à caractère personnel mis en œuvre par les
services publics d’archives à des fins archivistiques dans l’intérêt public
conformément à l’article L. 211-2 du Code du patrimoine
• Les droits d’accès, de rectification, à la limitation, à la portabilité,
d’opposition ne s’appliquent pas dans la mesure où ces droits rendent
impossible ou entravent sérieusement la réalisation de ces finalités.
• Les conditions et garanties appropriées sont déterminées par le Code du
patrimoine et les autres dispositions législatives et réglementaires
applicables aux archives publiques. Elles sont également assurées par le
respect des normes conformes à l’état de l’art en matière d’archivage
électronique.
© Féral-Schuhl / Sainte-Marie
RGPD – Transposition en droit national
22. De nouvelles exigences applicables aux archives privées et publiques :
Sécurité des données
Responsabilisation des acteurs (Abandon des formalités, jugées inefficaces)
• Principe « d’accountability » : mesures appropriées et effectives + être à
même de démontrer la conformité des activités de traitement avec le RGPD, y
compris l’efficacité des mesures (Consid. 74)
• Registre des activités de traitements : obligatoire sauf entreprise de moins
de 250 salariés, sauf traitement susceptible de comporter un risque pour les
droits et libertés des personnes concernées ou portant sur données sensibles
ou relatives à condamnations pénales / infractions (art. 30)
• Privacy by Design / PIA
© Féral-Schuhl / Sainte-Marie
RGPD – Les nouveautés?
23. Relations responsable de traitement / sous-traitant
• sous-traitant doit présenter des garanties suffisantes quant à la
mise en œuvre de mesures techniques et organisationnelles
appropriées afin de garantir le respect du RGPD
• sous-traitant ne recrute pas un autre sous-traitant sans
l'autorisation écrite préalable, spécifique ou générale, du
responsable du traitement.
• contrat avec le sous-traitant doit prévoir un certain nombre
d’engagements : agir sur instruction documentée, respect de la
confidentialité, droit d’audit du responsable de traitement
o code de conduite approuvé ou mécanisme de certification approuvé = élément
pour démontrer l'existence des garanties suffisantes
o contraintes qui s’ajoutent aux exigences du Code du patrimoine (R.212-19 s.)
© Féral-Schuhl / Sainte-Marie
RGPD – Les nouveautés?
24. Désigner le sponsor interne
Dresser la cartographie des traitements
Prioriser les actions de mises à jour : durées de
conservation, anonymisation, données sensibles,
transferts hors U.E.
Mettre à plat les rapports avec les sous-traitants
Définir les prérequis « privacy by design »
Définir les processus internes pour : la gestion de la
confidentialité, la gestion des droits des personnes
concernées, la gestion des violations de données
Tenir à jour le registre
Suivre les recommandations de la CNIL à venir
© Féral-Schuhl / Sainte-Marie
Plan d’action
25. 24 rue Erlanger, 75016 Paris
Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com
www.feral-avocats.com
Stéphanie Foulgoc
Avocate aux barreaux de Paris et du Québec
Feral-Schuhl / Sainte-Marie