GDPR

GDPR : General Data Protection RegulationEn FR : RGPD : Règlement général sur la protection des données

Sources

LEs echos

Wikipedia

EU

Point JDN

EU pedagogie orientation pour les PME

Qui ?

Le nouveau cadre européen de la protection des données personnelles s'applique à toutes les organisations publiques, privées ou associatives, dans tous les secteurs et ce, dans le monde entier, pour toute donnée personnelle relative à un citoyen de l'Union Européenne. Des ressources humaines au service informatique en passant par le marketing ou le développement de produits, l'intégralité de l'entreprise doit s'assurer que ces nouvelles exigences seront satisfaites à l'échéance du 25 mai 2018.

Entreprises

Cinq directions clés des entreprises sont particulièrement exposées au GDPR

DIRECTION MARKETING

qui exploite des données internes, de clients ou des sous-traitants est particulièrement concernée par le GDPR.

DIRECTION INFORMATIQUE

qui développe et gère les outils et plateformes informatiques sur lesquels transitent et sont stockées les données personnelles visées par le GDPR. Une attention particulière devra être apportée à la part grandissante du Shadow IT, qui désigne les systèmes mis en œuvre au sein de l'entreprise sans approbation de la direction des systèmes d'information et de communication

DIRECTION JURIDIQUE

responsable de la conformité GDPR des contrats signés par l'entreprise (avec les fournisseurs, les clients, les partenaires, les salariés...), qui sera en charge des litiges éventuels autour des questions de protection des données personnelles, et qui devra répondre aux demandes de l'autorité européenne territorialement compétente concernant la conformité de l'entreprise au règlement GDPR.

DIRECTION DES RESSOURCES HUMAINES

qui centralise les données personnelles sur l'ensemble des salariés de l'entreprise (ainsi que les candidats à des offres d'emplois), et qui a la responsabilité de conserver ou supprimer ces données en cas de départ des employés.

DIRECTIONS FINANCIERE ET DE L’AUDIT INTERNE

en charge d'assurer que tous les départements suivent bien la stratégie et les principes de gouvernance de l'entreprise, doivent également prendre en compte les risques liés à la conformité GDPR.

Associations

Administration

Application

Ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union Européenne à compter du 25 mai 2018.

La création du Comité européen de la protection des données ("European Data Protection Board") (réincarnation de l'ancien Article 29 Working Party) qui sera une autorité dans tout ce qui concerne l’interprétation du Règlement (articles 68 et suivants du Règlement).

L'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement est encouragée (article 40 du Règlement).

Quoi ?

Data collecte

Preuve de ce consentement

Consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.Elles veilleront à ce que seules les données nécessaires à la finalité en cause, et seulement pour celle-ci, soient collectées.Les données ne devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

Un consentement « explicite » et « positif » : les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées.

Le droit à l’effacement ou « droit à l’oubli »

la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).

Le droit à la portabilité des données personnelles

les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20).

Profilage

toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire (article 22 du Règlement).

Des principes de « protection des données dès la conception » et de « sécurité par défaut »

le règlement européen définit le principe de « protection des données dès la conception» (en anglais: Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnelDe plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du Règlement).

Des notifications en cas de fuite de données

les entreprises et les organismes seront tenus de notifier dès que possible l'autorité nationale de protection (chez nous la CNIL) en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du Règlement).

La nomination obligatoire d'un délégué à la protection des données (Data Protection Officer en anglais)

pour les organismes publics ou privés dont « les activités de base [...] exigent un suivi régulier et systématique à grande échelle des personnes concernées » (article 37). Il doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l'autorité de contrôle.

Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles devront être précédées d’une évaluation d’impact qui devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.

Le DPO devra consulter l’autorité de contrôle avant de mettre en œuvre les activités en question (article 35 du Règlement).

Risques

Des sanctions plus importantes : le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu), en cas de non-respect (article 83.6 du Règlement).

Eprivacy

L’alignement de la proposition de règlement e-Privacy avec le RGPDLe projet de règlement publié le 10 janvier 2017 vise à répondre à la préoccupation croissante des personnes quant à la protection de leur vie privée et à la confidentialité de leurs données, en particulier quant aux conditions d’accès aux données se trouvant dans leur ordinateur ou leur smartphone et aux contenus de leurs communications.

Le projet de règlement publié le 10 janvier 2017 vise à répondre à la préoccupation croissante des personnes quant à la protection de leur vie privée, notamment concernant le consentement à l’utilisation des cookies.

La commission LIBE du Parlement européen présentera son rapport le 22 juin et votera sur le texte en octobre.

13/07/17 Le G29 a présenté sa position aux Etats sur l’e-privacy

Lors de la réunion du groupe de travail du Conseil sur les télécoms du 10 juillet, les autorités européennes de protection des données ont rappelé qu’elles recommandent la mise en place de paramètres de protection des communications par défaut (« privacy by default »).La Commission a précisé que le règlement e-privacy ne s’applique que dans le cadre de la transmission des communications et que le règlement sur la protection des données (RGPD) s’applique en amont et en aval.

La présidence estonienne a prévu de finaliser son premier compromis lors de la première quinzaine de septembre. Le prochain groupe de travail Article 29 sur la protection des données - G29 - se réunira lors de la deuxième quinzaine.

Les questions du marché

Actuellement la Directive ePrivacy 2002/58/CE requiert le consentement des personnes pour le dépôt de cookies, ce qui suppose une information préalable de ces dernières et
la possibilité pour celles-ci d’exercer un droit individuel auprès de l’émetteur des cookies.

En pratique, ce consentement s’exerce à travers une bannière qui informe l’internaute sur
la politique du site visité en matière de cookies et qui oriente l’internaute dans la manière
d’exercer son libre choix.

Pas de prise en compte de l'univers techniques des mobiles vs internet fixe.

La Proposition de Règlement semble en effet confier la mise en oeuvre du dispositif de recueil du consentement à des entreprises américaines qui dominent le marché mondial de la publicité digitale et comportementale, au rang desquels les trois principaux éditeurs de logiciels de navigation (Google Chrome, Microsoft Internet Explorer, Apple Safari).

Ce simple fait permettra à ces acteurs d’avoir une position très favorable, renforcée par leurs relations directes avec les internautes. Ainsi, ils pourront notamment utiliser des cookies
nécessaires au fonctionnement du navigateur lui-même pour l’ensemble des services qu’ils fournissent ailleurs sur le web (recherche, publicité, audience, etc.).

Inquiétude des acteurs du marché

La Proposition de Règlement fait peser des risques importants sur la compétitivité des entreprises européennes sans contrepartie effective pour la protection de la vie privée
des Européens et sans information précise et pertinente leur permettant d’exercer leurs droits de manière éclairée.

La Proposition de Règlement pourrait remettre en cause les fondements même de la valorisation des sites internet en privant les acteurs de ce marché d’outils de mesure
d’audience fiable.

la Proposition de Règlement menacerait également les réseaux
publicitaires tiers qui ne seraient pas liés à des éditeurs de logiciels de navigation

Le retour de l'iab Europe
sur l'eprivacy

Importance de la data dans le marché publicitaire

La publicité paye le contenu

Un monde sans publicité & data

Le Texte

Acutalités

Position FR

15/11/17 Françoise Nyssen souhaite un assouplissement de l'utilisation des cookies dans la proposition de règlement e-Privacy Lors d’une audition conjointe de la commission des Affaires culturelles et des Affaires européennes de l’Assemblée nationale le 15 novembre, la Ministre de la Culture Françoise Nyssen s'est prononcé en faveur d'un assouplissement de l'utilisation des cookies dans la proposition de règlement e-Privacy afin de protéger le modèle économique de la presse. Mme Nyssen a estimé qu'un "blocage trop binaire des cookies empêcherait les éditeurs de presse de les utiliser pour des objectifs de suivi d’audience, de recommandation d’articles ou pour proposer une publicité ciblée". La Ministre de la Culture a souligné que la position du Parlement européen était "sur une ligne très dure", tandis que la position du Conseil de l'Union européenne était encore indécise, laissant une marge de manœuvre aux arguments de la France. http://videos.assemblee-nationale.fr/video.5181451_5a0c580671257.commission-des-affaires-culturelles-et-commission-des-affaires-europeennes--mme-francoise-nyssen-m-15-novembre-2017

Les gagnants et les perdants

La Loi pour une République numérique (adoptée le 7 octobre 2016)

Un renforcement du périmètre d’intervention et des pouvoirs de sanction de la CNIL

Une application par anticipation d’un certain nombre de dispositions du règlement européen dont l’application est prévue en 2018 (période transitoire de deux ans)

Secret des correspondances

La réforme de la loi de 1978

Assurer la transition numérique des entreprises

Mettre en œuvre le règlement européen

Constat sur le Marché FR

*66 contrôles effectués entre 2014 et 2016

*53 auprès des éditeurs

*13 auprès des émetteurs de cookies tiers

*Principaux manquements

Information préalable

Dépôt des témoins de connexion avant recueil du consentement

Durée de conservation

Exercice du droit d’opposition

*Nécessité de prendre en compte la chaîne des intermédiaires

Cas d'actions

Cas N°1

L’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte

Sites de commerce électronique sur lesquels les acteurs déposent des cookies afin de procéder à du « retargeting »,Editeurs de sites qui utilisent des outils de mesures et/ou d’analyse d’audience que ces derniers soient développés en interne ou par des tiers,Editeurs de site qui utilisent des cookies pour mesurer les investissements au sein des espaces publicitaires qu’ils mettent à disposition et ainsi maximiser ces emplacements, assurer leur facturation, 

Cas N°2

Les données collectées par les tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur

Une régie publicitaire qui suit les internautes sur différents sites afin d’établir leur profil ou de les regrouper dans des segments de marché qui peuvent être utilisés / vendus à d’autres tiersUne plateforme d’enchère en temps réel qui vend aux annonceurs le droit d’afficher une publicité sur une page webDSP qui enchérissent sur des espaces publicitaires et se servent des informations associées à ces espaces pour parfaire leur ciblage sans restituer les informations de navigation à l’annonceur pour le compte duquel elles agissent

En chiffres

Mission

Informer / Protéger

Accompagner / Conseiller

Contrôler / Sanctionner

Anticiper

La Règlementation en matière de cookies et autres traceurs

Loi informatique et libertés
Article 32-II
Information préalable renforcée et droit d’opposition
Consentement
Recommandation du 5 décembre 2013
Information préalable générale (finalités, moyens d’opposition, poursuite de la navigation)
Information spécifique => exercice des droits
Consentement

Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en œuvre et la logique sous-jacente en cas de prise de décision automatisée.

Le nouveau
Privacy Shield

12 juillet 2016 :

adoption de l’accord par la Commission européenne

Le 25 octobre 2016 :

plusieurs associations françaises dont la Quadrature du net ont déposé un recours devant le Tribunal de l'Union européenne pour demander l’annulation de l’accord

Janvier 2017 :

le Président des Etats-Unis, Donald Trump, a adopté un décret qui menace potentiellement le Privacy Shield et qui prévoit que « Les agences [comme la NSA et le FBI] devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables. »

23 mars 2017,

une majorité de députés de la Commission Justice et Libertés Civiles (LIBE) du Parlement européen a adopté une résolution très critique sur le « Privacy Shield », dénonçant la surveillance de masse aux États-Unis et le risque d’incompatibilité avec le droit communautaire.

Données personnelles
Focus règlementaire
maj : Sept 2017

Provided by

Dataviz

You've finished your presentation
Restart
en