GDPR

Le nouveau cadre européen de la protection des données personnelles s'applique à toutes les organisations publiques, privées ou associatives, dans tous les secteurs et ce, dans le monde entier, pour toute donnée personnelle relative à un citoyen de l'Union Européenne. Des ressources humaines au service informatique en passant par le marketing ou le développement de produits, l'intégralité de l'entreprise doit s'assurer que ces nouvelles exigences seront satisfaites à l'échéance du 25 mai 2018.

qui exploite des données internes, de clients ou des sous-traitants est particulièrement concernée par le GDPR.

qui développe et gère les outils et plateformes informatiques sur lesquels transitent et sont stockées les données personnelles visées par le GDPR. Une attention particulière devra être apportée à la part grandissante du Shadow IT, qui désigne les systèmes mis en œuvre au sein de l'entreprise sans approbation de la direction des systèmes d'information et de communication

responsable de la conformité GDPR des contrats signés par l'entreprise (avec les fournisseurs, les clients, les partenaires, les salariés...), qui sera en charge des litiges éventuels autour des questions de protection des données personnelles, et qui devra répondre aux demandes de l'autorité européenne territorialement compétente concernant la conformité de l'entreprise au règlement GDPR.

qui centralise les données personnelles sur l'ensemble des salariés de l'entreprise (ainsi que les candidats à des offres d'emplois), et qui a la responsabilité de conserver ou supprimer ces données en cas de départ des employés.

en charge d'assurer que tous les départements suivent bien la stratégie et les principes de gouvernance de l'entreprise, doivent également prendre en compte les risques liés à la conformité GDPR.

Consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.Elles veilleront à ce que seules les données nécessaires à la finalité en cause, et seulement pour celle-ci, soient collectées.Les données ne devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).

les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20).

toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire (article 22 du Règlement).

le règlement européen définit le principe de « protection des données dès la conception» (en anglais: Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnelDe plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du Règlement).

les entreprises et les organismes seront tenus de notifier dès que possible l'autorité nationale de protection (chez nous la CNIL) en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du Règlement).

pour les organismes publics ou privés dont « les activités de base [...] exigent un suivi régulier et systématique à grande échelle des personnes concernées » (article 37). Il doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l'autorité de contrôle.

L’alignement de la proposition de règlement e-Privacy avec le RGPDLe projet de règlement publié le 10 janvier 2017 vise à répondre à la préoccupation croissante des personnes quant à la protection de leur vie privée et à la confidentialité de leurs données, en particulier quant aux conditions d’accès aux données se trouvant dans leur ordinateur ou leur smartphone et aux contenus de leurs communications.

Lors de la réunion du groupe de travail du Conseil sur les télécoms du 10 juillet, les autorités européennes de protection des données ont rappelé qu’elles recommandent la mise en place de paramètres de protection des communications par défaut (« privacy by default »).La Commission a précisé que le règlement e-privacy ne s’applique que dans le cadre de la transmission des communications et que le règlement sur la protection des données (RGPD) s’applique en amont et en aval.

15/11/17 Françoise Nyssen souhaite un assouplissement de l'utilisation des cookies dans la proposition de règlement e-Privacy Lors d’une audition conjointe de la commission des Affaires culturelles et des Affaires européennes de l’Assemblée nationale le 15 novembre, la Ministre de la Culture Françoise Nyssen s'est prononcé en faveur d'un assouplissement de l'utilisation des cookies dans la proposition de règlement e-Privacy afin de protéger le modèle économique de la presse. Mme Nyssen a estimé qu'un "blocage trop binaire des cookies empêcherait les éditeurs de presse de les utiliser pour des objectifs de suivi d’audience, de recommandation d’articles ou pour proposer une publicité ciblée". La Ministre de la Culture a souligné que la position du Parlement européen était "sur une ligne très dure", tandis que la position du Conseil de l'Union européenne était encore indécise, laissant une marge de manœuvre aux arguments de la France. http://videos.assemblee-nationale.fr/video.5181451_5a0c580671257.commission-des-affaires-culturelles-et-commission-des-affaires-europeennes--mme-francoise-nyssen-m-15-novembre-2017

Sites de commerce électronique sur lesquels les acteurs déposent des cookies afin de procéder à du « retargeting »,Editeurs de sites qui utilisent des outils de mesures et/ou d’analyse d’audience que ces derniers soient développés en interne ou par des tiers,Editeurs de site qui utilisent des cookies pour mesurer les investissements au sein des espaces publicitaires qu’ils mettent à disposition et ainsi maximiser ces emplacements, assurer leur facturation, 

Une régie publicitaire qui suit les internautes sur différents sites afin d’établir leur profil ou de les regrouper dans des segments de marché qui peuvent être utilisés / vendus à d’autres tiersUne plateforme d’enchère en temps réel qui vend aux annonceurs le droit d’afficher une publicité sur une page webDSP qui enchérissent sur des espaces publicitaires et se servent des informations associées à ces espaces pour parfaire leur ciblage sans restituer les informations de navigation à l’annonceur pour le compte duquel elles agissent

Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en œuvre et la logique sous-jacente en cas de prise de décision automatisée.