RGPD Formation du 6 décembre 2018

Notes de la formation suivie par Benjamin et Franck sur le RGPD le 6 décembre 2018.

Les informations complètes sont disponibles sur le support de présentation.

Formation RGPD : Protection des données

• Animateur : Ryad Bouadi, juriste, société AGERIS Group SAS, ryad.bouadi at ageris-group.com
• Beaucoup de droit, peu de technique
• RGPD : Règlement Général sur la Protection des Données
• G29, CEPD : Comité Européen sur la Protection des Données

Introduction[modifier | modifier le wikicode]

Un projet RGPD :

• chantier gouvernance : rôles, responsabilité, procédures
• chantier juridique : politique […], revue des contrat, droit des personnes
• chantier technique : sécurité des systèmes d’information

Actualité[modifier | modifier le wikicode]

• 25 mai 2018 : Entrée en application du RGPD
• 25 mai 2018 : La Quadrature du Net : dépôt de plainte pour non-conformité contre Google, Facebook…
• 20 juin 2018 : Loi Informatique et Libertés 3
• 11 octobre 2018 : Possibilité de certification des compétences du DPO par la CNIL

Contexte et enjeux du règlement[modifier | modifier le wikicode]

La technologie permet à l’État et aux entreprises de collecter les données personnelles très facilement.

Historique :

• phase 1 : « Initiatives nationales, régionales et internationales » 1971 - 1995
• phase 2 : « Harmonisation » 1995 - 2016
• phase 3 : « Homogénéisation » 2016 (2018)

Définitions[modifier | modifier le wikicode]

• Données à caractère personnel : Toute donnée relative à une personne physique, qui peut être identifiée par quelqu’un, quel que soit le moyen utilisé.
• Traitement : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
• Fichier de données à caractère personnel : Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

RGPD[modifier | modifier le wikicode]

Le RGPD s’applique :

• aux traitements effectués dans le cadres des activités de Responsable de traitement ou de Sous-traitant établis sur le territoire de l’UE (critère d’établissement).
• mais aussi aux traitements effectués pour le compte de Responsable de traitement ou de Sous-traitant non établis sur le territoire de l’UE dès lors qu’ils visent des personnes se trouvant sur le territoire de l’UE dans le cadre des activités suivantes (critère du ciblage) : offre à ceux-ci de biens ou de services ou suivi de leur comportements au sein de l’UE.

Exigences du RGPD et les impacts[modifier | modifier le wikicode]

Principes[modifier | modifier le wikicode]

Principe 1 : licéité, loyauté, transparence

Les données doivent être traitées de manière licite, loyale et transparente.

1. La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
2. Le traitement […] contrat
3. obligation légale
4. …

• Principe 2 : limitation des finalités : Les données doivent être traités pour des finalités déterminées, explicites et légitimes
• Principe 3 : minimisation des données : Les données doivent être adéquates, pertinentes et limitées
• Principe 4 : exactitude : Les données doivent être exactes et, si nécessaire, tenues à jour
• Principe 5 : limitation de la conservation : Les données doivent être conservées pendant une durée n’excédant pas celle nécessaire
• Principe 6 : intégrité et confidentialité : Les données doivent être traitées de façon à garantir une sécurité appropriée des données

Accountability : Capacité à démontrer. Processus de mise en conformité d’une entreprise à la réglementation Informatique et libertés. Grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques correspondantes, le responsable du traitement peut s’acquitter de son obligation de rendre des comptes.

Bonnes pratiques et le plan d’actions[modifier | modifier le wikicode]

1. Principes (Articles 5 à 11)
2. Droits (Article 12)
3. Obligations du Responsable de Traitement et du Sous-Traitant
4. Délégué à la Protection des Données
5. Autorités de contrôle

…[modifier | modifier le wikicode]

…[modifier | modifier le wikicode]

…[modifier | modifier le wikicode]

Principe d’exactitude des données[modifier | modifier le wikicode]

Donner l’accès aux données aux utilisateurs. Lui permettre mettre à jour ses données facilement.

Principe de conservation limitée des données[modifier | modifier le wikicode]

Voir le document joint

Principe de sécurité et de la confidentialité des données[modifier | modifier le wikicode]

Droits[modifier | modifier le wikicode]

• Article 13. Droit d’information : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée.
• Article 15. Droit d’accès
• Article 16. Droit de rectification
• Article 17. Droit d’effacement (droit à l’oubli)
• Article 21. Droit d’opposition
• Article 20. Droit à la portabilité

Obligations du Responsable de Traitement et du Sous-Traitant[modifier | modifier le wikicode]

Délégué à la Protection des Données[modifier | modifier le wikicode]

Autorités de contrôle[modifier | modifier le wikicode]

Les entreprises sont tenues d’avoir un registre des activités de traitement :

• + de 250 salariés
• - de 250 salariés :
  • risque pour les droits et des libertés des personnes concernées
  • traitements non occasionnels
  • traitements relatifs à des données sensibles…